Veronderstelde datalek van 2,9 miljard records leidt tot mediahysterie en juridische stappen tegen nationale openbare gegevens
Recente geruchten over een enorme datalek met betrekking tot National Public Data (NPD), een prominente dienst voor achtergrondcontroles, hebben de media in rep en roer gebracht en meerdere rechtszaken aangewakkerd. Ondanks de brede aandacht blijft de waarheid achter het vermeende lek in onzekerheid gehuld, met weinig concreet bewijs om de beweringen te onderbouwen.
Inhoudsopgave
Een tweet die een storm van verontwaardiging veroorzaakte
De eerste geruchten over een mogelijke inbreuk kwamen op 8 april 2024 naar boven, toen een gebruiker genaamd HackManac op X (voorheen Twitter) een bericht plaatste over een verbijsterende 2,9 miljard records die naar verluidt waren geëxfiltreerd uit de databases van NPD. Volgens het bericht werden de gegevens, waaronder records van burgers van de Verenigde Staten, Canada en het Verenigd Koninkrijk, te koop aangeboden door een dreigingsactor die bekendstaat als USDoD voor $ 3,5 miljoen. Ondanks de ernst van de claim werd het bericht grotendeels genegeerd door de reguliere media en reageerde NPD niet.
Deze eerste post werd gevolgd door een andere op 2 juni 2024, van vx-underground, een bekende cybersecurity community. Ze beweerden een sample van de data te hebben beoordeeld en de authenticiteit ervan te hebben bevestigd. Opnieuw bleven de media en NPD stil.
De juridische gevolgen nu de class action-rechtszaken beginnen
De situatie nam een dramatische wending op 1 augustus 2024, toen Christopher Hofmann een class action-rechtszaak aanspande tegen NPD. Hofmann beweerde dat zijn persoonlijk identificeerbare informatie (PII) was gecompromitteerd bij de inbreuk, en verwees daarbij naar een melding van zijn identiteitsdiefstalbeveiligingsservice. Deze rechtszaak, samen met drie andere die zijn aangespannen door vermeende slachtoffers, moet nog concreet bewijs leveren dat de geëxfiltreerde gegevens rechtstreeks aan NPD zijn gekoppeld.
De Hofmann-rechtszaak, die de vx-underground post als primair bewijs gebruikt, zit vol inconsistenties. Zo wordt de inbreuk aanvankelijk toegeschreven aan USDoD, maar latere correcties gaven aan dat een andere dreigingsactor, bekend als SXUL, mogelijk verantwoordelijk was. Bovendien blaast de rechtszaak het aantal records op van 2,9 miljard naar "miljarden individuen", een getal dat de gezamenlijke bevolking van de VS, Canada en het VK ver overtreft.
Een mogelijke visexpeditie?
Deskundigen suggereren dat de rechtszaak minder gaat over het bewijzen van de schuld van NPD en meer over het dwingen van het bedrijf om bewijs te leveren van zijn onschuld. In de VS kunnen rechtbanken eisen dat gedaagden informatie vrijgeven die de claims tegen hen kan bewijzen of ontkrachten. Deze strategie, vaak aangeduid als een "fishing expedition", zou het primaire doel kunnen zijn van Hofmanns juridische team.
Ilia Kolochenko, CEO van ImmuniWeb en juridisch expert, merkte op dat dergelijke tactieken vaker voorkomen in de VS dan in Europa, waar de bewijslast doorgaans bij de eiser ligt. Als de rechtbank NPD dwingt om informatie over de vermeende inbreuk te verstrekken, kan dit aanzienlijke gevolgen hebben voor het bedrijf.
Het grotere plaatje en wat we tot nu toe weten
Ondanks de juridische stappen en mediagekte is er nog steeds geen definitief bewijs dat er inbreuk is gemaakt op NPD. De gegevens die worden verspreid, zijn mogelijk afkomstig van andere bronnen of zijn samengesteld uit openbare gegevens, in plaats van dat ze zijn geëxfiltreerd van NPD. Zelfs gerenommeerde bronnen zoals Bleeping Computer, die samples van de gelekte gegevens hebben bekeken, konden niet bevestigen dat de informatie afkomstig was van NPD.
Bovendien roept de vermeende inbreuk vragen op over de enorme hoeveelheid data die naar verluidt is gestolen. Deskundigen hebben hun scepsis geuit over de haalbaarheid van het exfiltreren van 2,9 miljard records zonder detectie, vooral gezien de gevoelige aard van de informatie die NPD verwerkt.
De onzekere toekomst: wachten op de waarheid
Tot nu toe heeft NPD geen commentaar gegeven op de vermeende inbreuk, noch heeft het officiële bekendmakingen gedaan aan regelgevende instanties in de VS, het VK of Canada. De waarheid achter de inbreuk komt mogelijk pas aan het licht als de rechtbanken een formeel antwoord van NPD eisen.
Ondertussen hebben de beschuldigingen wijdverbreide bezorgdheid en speculatie veroorzaakt. Of deze beweringen onderbouwd of onwaar blijken te zijn, valt nog te bezien, maar de situatie dient als herinnering aan de potentiële risico's die gepaard gaan met datalekken in het digitale tijdperk van vandaag.
Terwijl we wachten op meer informatie, is het cruciaal om de situatie met voorzichtigheid te benaderen. Hoewel de mogelijkheid van een inbreuk bij NPD niet kan worden uitgesloten, betekent het gebrek aan concreet bewijs dat de waarheid complexer kan zijn dan de krantenkoppen suggereren.