Dakwaan Pelanggaran Data 2.9 Bilion Rekod Menimbulkan Histeria Media dan Tindakan Undang-undang Terhadap Data Awam Negara
Khabar angin baru-baru ini mengenai pelanggaran data besar-besaran yang melibatkan Data Awam Negara (NPD), perkhidmatan semakan latar belakang yang terkenal, telah membakar media dan mencetuskan pelbagai tindakan undang-undang. Walaupun mendapat perhatian yang meluas, kebenaran di sebalik dakwaan pelanggaran itu masih diselubungi ketidakpastian, dengan sedikit bukti konkrit untuk menyokong dakwaan itu.
Isi kandungan
Tweet Yang Menyalakan Ribut Api
Bisikan pertama tentang kemungkinan pelanggaran muncul pada 8 April 2024, apabila pengguna bernama HackManac menyiarkan di X (dahulunya Twitter) tentang 2.9 bilion rekod yang mengejutkan yang didakwa diekstraksi daripada pangkalan data NPD. Menurut catatan itu, data itu, termasuk rekod daripada warga Amerika Syarikat, Kanada dan United Kingdom, ditawarkan untuk dijual oleh pelakon ancaman dikenali sebagai USDoD pada harga $3.5 juta. Walaupun keterukan tuntutan itu, siaran itu sebahagian besarnya diabaikan oleh media arus perdana, dan NPD tidak mengeluarkan respons.
Catatan awal ini diikuti oleh satu lagi pada 2 Jun 2024, daripada vx-underground, komuniti keselamatan siber yang terkenal. Mereka mendakwa telah menyemak sampel data dan mengesahkan kesahihannya. Sekali lagi, media dan NPD berdiam diri.
Kejatuhan Undang-undang sebagai Tindakan Tindakan Kelas Bermula
Keadaan berubah secara dramatik pada 1 Ogos 2024, apabila Christopher Hofmann memfailkan tuntutan mahkamah tindakan kelas terhadap NPD. Hofmann mendakwa bahawa maklumat pengenalan peribadinya (PII) telah dikompromi dalam pelanggaran itu, memetik pemberitahuan daripada perkhidmatan perlindungan kecurian identitinya. Tuntutan ini, bersama-sama dengan tiga lagi yang difailkan oleh mangsa yang dikatakan, masih belum memberikan bukti konkrit yang menghubungkan data yang dieksfiltrasi terus ke NPD.
Tuntutan Hofmann, yang menggunakan pos vx-underground sebagai bukti utamanya, penuh dengan ketidakkonsistenan. Sebagai contoh, ia pada mulanya mengaitkan pelanggaran kepada USDoD, tetapi pembetulan kemudian menunjukkan bahawa pelakon ancaman yang berbeza, dikenali sebagai SXUL, mungkin bertanggungjawab. Tambahan pula, tuntutan mahkamah itu meningkatkan bilangan rekod daripada 2.9 bilion kepada "berbilion individu," satu angka yang jauh melebihi gabungan populasi AS, Kanada dan UK.
Ekspedisi Memancing Kemungkinan?
Pakar mencadangkan bahawa tuntutan mahkamah mungkin kurang tentang membuktikan kesalahan NPD dan lebih banyak tentang memaksa syarikat untuk memberikan bukti tidak bersalah. Di AS, mahkamah boleh meminta defendan mendedahkan maklumat yang mungkin membuktikan atau menafikan tuntutan terhadap mereka. Strategi ini, sering dirujuk sebagai "ekspedisi memancing," mungkin menjadi matlamat utama pasukan undang-undang Hofmann.
Ilia Kolochenko, Ketua Pegawai Eksekutif ImmuniWeb dan pakar undang-undang, menyatakan bahawa taktik sedemikian adalah lebih biasa di AS berbanding di Eropah, di mana beban pembuktian biasanya terletak pada plaintif. Jika mahkamah memaksa NPD untuk mendedahkan maklumat tentang dakwaan pelanggaran, ia boleh membawa kepada akibat yang ketara kepada syarikat.
Gambaran Lebih Besar dan Apa yang Kami Tahu Setakat ini
Walaupun tindakan undang-undang dan kegilaan media, masih tiada bukti pasti bahawa NPD telah dilanggar. Data yang diedarkan mungkin berasal daripada sumber lain atau disusun daripada rekod awam, dan bukannya dieksfiltrasi daripada NPD. Malah sumber bereputasi seperti Bleeping Computer, yang menyemak sampel data yang bocor, tidak dapat mengesahkan bahawa maklumat itu datang daripada NPD.
Selain itu, dakwaan pelanggaran itu menimbulkan persoalan tentang jumlah data yang dilaporkan dicuri. Pakar telah menyatakan keraguan tentang kebolehlaksanaan mengekstrak 2.9 bilion rekod tanpa pengesanan, terutamanya memandangkan sifat sensitif maklumat yang dikendalikan oleh NPD.
Masa Depan Yang Tidak Pasti: Menunggu Kebenaran
Setakat ini, NPD tidak mengulas tentang dakwaan pelanggaran itu, dan tidak membuat sebarang pendedahan rasmi kepada badan kawal selia di AS, UK atau Kanada. Kebenaran di sebalik pelanggaran itu hanya akan terbongkar jika mahkamah menuntut respons rasmi daripada NPD.
Dalam pada itu, dakwaan tersebut telah mencetuskan kebimbangan dan spekulasi yang meluas. Sama ada dakwaan ini akan dibuktikan atau terbukti palsu masih belum dapat dilihat, tetapi situasi itu berfungsi sebagai peringatan tentang potensi risiko yang berkaitan dengan pelanggaran data dalam era digital hari ini.
Semasa kami menunggu maklumat lanjut, adalah penting untuk mendekati situasi dengan berhati-hati. Walaupun kemungkinan pelanggaran di NPD tidak dapat diketepikan, kekurangan bukti konkrit bermakna kebenaran mungkin lebih kompleks daripada yang dicadangkan oleh tajuk utama.