Påstått datainnbrudd på 2,9 milliarder poster gir mediehysteri og rettslige handlinger mot nasjonale offentlige data
Nylige rykter om et massivt datainnbrudd som involverer National Public Data (NPD), en fremtredende tjeneste for bakgrunnssjekking, har satt mediene i brann og utløst flere søksmål. Til tross for den omfattende oppmerksomheten, er sannheten bak det påståtte bruddet fortsatt innhyllet i usikkerhet, med lite konkrete bevis for å underbygge påstandene.
Innholdsfortegnelse
En tweet som antente en ildstorm
De første hviskene om et potensielt brudd dukket opp 8. april 2024, da en bruker ved navn HackManac postet på X (tidligere Twitter) om svimlende 2,9 milliarder poster som angivelig ble eksfiltrert fra ODs databaser. I følge innlegget ble dataene, som inkluderer poster fra borgere fra USA, Canada og Storbritannia, tilbudt for salg av en trusselaktør kjent som USDoD for 3,5 millioner dollar. Til tross for alvorlighetsgraden av påstanden, ble innlegget stort sett ignorert av mainstream media, og OD ga ikke noe svar.
Dette første innlegget ble fulgt av et annet 2. juni 2024 fra vx-underground, et velkjent nettsikkerhetssamfunn. De hevdet å ha gjennomgått et utvalg av dataene og bekreftet deres ekthet. Nok en gang forble media og OD tause.
Det juridiske nedfallet når gruppesøksmål begynner
Situasjonen tok en dramatisk vending 1. august 2024, da Christopher Hofmann anla gruppesøksmål mot OD. Hofmann påsto at hans personlig identifiserbare informasjon (PII) hadde blitt kompromittert i bruddet, med henvisning til en melding fra hans identitetstyveribeskyttelsestjeneste. Dette søksmålet, sammen med tre andre anlagt av påståtte ofre, har ennå ikke gitt konkrete bevis som knytter de eksfiltrerte dataene direkte til NPD.
Hofmann-søksmålet, som bruker vx-underground-posten som sitt primære bevis, er full av inkonsekvenser. For eksempel tilskriver den først bruddet til USDoD, men senere rettelser indikerte at en annen trusselaktør, kjent som SXUL, kan ha vært ansvarlig. Videre blåser søksmålet opp antallet poster fra 2,9 milliarder til «milliarder av individer», et tall som langt overstiger den samlede befolkningen i USA, Canada og Storbritannia.
En mulig fiskeekspedisjon?
Eksperter antyder at søksmålet kan handle mindre om å bevise ODs skyld og mer om å tvinge selskapet til å fremlegge bevis på sin uskyld. I USA kan domstoler kreve at saksøkte oppgir informasjon som kan bevise eller avkrefte påstandene mot dem. Denne strategien, ofte referert til som en "fiskeekspedisjon", kan være hovedmålet til Hofmanns juridiske team.
Ilia Kolochenko, administrerende direktør i ImmuniWeb og en juridisk ekspert, bemerket at slike taktikker er mer vanlig i USA enn i Europa, hvor bevisbyrden vanligvis ligger hos saksøkeren. Dersom retten tvinger OD til å utlevere opplysninger om det påståtte bruddet, kan det få betydelige konsekvenser for selskapet.
Det større bildet og hva vi vet så langt
Til tross for rettslige skritt og medievanvidd, er det fortsatt ingen definitive bevis på at OD ble brutt. Dataene som sirkuleres kan ha sitt opphav fra andre kilder eller blitt satt sammen fra offentlige registre, i stedet for å være eksfiltrert fra OD. Selv anerkjente kilder som Bleeping Computer, som gjennomgikk prøver av de lekkede dataene, kunne ikke bekrefte at informasjonen kom fra OD.
Dessuten reiser det påståtte bruddet spørsmål om det store volumet av data som rapporteres stjålet. Eksperter har uttrykt skepsis til muligheten for å eksfiltrere 2,9 milliarder poster uten oppdagelse, spesielt gitt den sensitive naturen til informasjonen OD håndterer.
Den usikre fremtiden: Venter på sannheten
NPD har foreløpig ikke kommentert det påståtte bruddet, og har heller ikke gitt noen offisielle avsløringer til regulatoriske organer i USA, Storbritannia eller Canada. Sannheten bak bruddet kan først komme frem dersom domstolene krever et formelt svar fra OD.
I mellomtiden har påstandene utløst omfattende bekymring og spekulasjoner. Hvorvidt disse påstandene vil være underbygget eller bevist usanne gjenstår å se, men situasjonen fungerer som en påminnelse om de potensielle risikoene forbundet med datainnbrudd i dagens digitale tidsalder.
Mens vi venter på mer informasjon, er det avgjørende å forholde seg til situasjonen med forsiktighet. Mens muligheten for brudd hos OD ikke kan utelukkes, betyr mangelen på konkrete bevis at sannheten kan være mer kompleks enn overskriftene tilsier.