Rzekome naruszenie danych 2,9 miliarda rekordów wywołuje medialną histerię i działania prawne przeciwko krajowym danym publicznym
Ostatnie plotki o masowym naruszeniu danych z udziałem National Public Data (NPD), znanej usługi weryfikacji przeszłości, rozpaliły media i wywołały wiele pozwów. Pomimo powszechnego zainteresowania prawda o domniemanym naruszeniu pozostaje owiana niepewnością, a dowodów na poparcie tych twierdzeń jest niewiele.
Spis treści
Tweet, który wywołał burzę
Pierwsze pogłoski o potencjalnym naruszeniu pojawiły się 8 kwietnia 2024 r., kiedy użytkownik o nazwie HackManac opublikował na X (dawniej Twitter) post o oszałamiających 2,9 miliarda rekordów rzekomo wykradzionych z baz danych NPD. Zgodnie z postem dane, które obejmują rekordy obywateli Stanów Zjednoczonych, Kanady i Wielkiej Brytanii, były oferowane na sprzedaż przez aktora zagrożeń znanego jako USDoD za 3,5 miliona dolarów. Pomimo powagi roszczenia, post został w dużej mierze zignorowany przez główne media, a NPD nie odpowiedziało.
Po tym pierwszym wpisie nastąpił kolejny z 2 czerwca 2024 r. od vx-underground, znanej społeczności cyberbezpieczeństwa. Twierdzili, że przejrzeli próbkę danych i potwierdzili ich autentyczność. Po raz kolejny media i NPD milczały.
Skutki prawne w postaci rozpoczęcia pozwów zbiorowych
Sytuacja przybrała dramatyczny obrót 1 sierpnia 2024 r., kiedy Christopher Hofmann złożył pozew zbiorowy przeciwko NPD. Hofmann twierdził, że jego dane osobowe (PII) zostały naruszone w wyniku naruszenia, powołując się na powiadomienie z jego usługi ochrony przed kradzieżą tożsamości. Ten pozew, podobnie jak trzy inne złożone przez domniemane ofiary, nie dostarczyły jeszcze konkretnych dowodów łączących wykradzione dane bezpośrednio z NPD.
Pozew Hofmanna, w którym jako główny dowód wykorzystano post vx-underground, jest pełen nieścisłości. Na przykład początkowo przypisuje naruszenie USDoD, ale późniejsze poprawki wskazują, że odpowiedzialny mógł być inny podmiot zagrażający, znany jako SXUL. Ponadto pozew zawyża liczbę rekordów z 2,9 miliarda do „miliardów osób”, co znacznie przekracza łączną populację USA, Kanady i Wielkiej Brytanii.
Możliwa wyprawa wędkarska?
Eksperci sugerują, że pozew może dotyczyć mniej udowodnienia winy NPD, a bardziej zmuszenia firmy do dostarczenia dowodów na jej niewinność. W USA sądy mogą wymagać od pozwanych ujawnienia informacji, które mogą udowodnić lub obalić roszczenia przeciwko nim. Ta strategia, często określana jako „wyprawa wędkarska”, może być głównym celem zespołu prawnego Hofmanna.
Ilia Kolochenko, CEO ImmuniWeb i ekspert prawny, zauważył, że takie taktyki są bardziej powszechne w USA niż w Europie, gdzie ciężar dowodu zazwyczaj spoczywa na powodzie. Jeśli sąd zmusi NPD do ujawnienia informacji o domniemanym naruszeniu, może to mieć poważne konsekwencje dla firmy.
Szerszy obraz i to, co wiemy do tej pory
Pomimo działań prawnych i medialnego szału, nadal nie ma ostatecznego dowodu na to, że NPD zostało naruszone. Dane, które są rozpowszechniane, mogą pochodzić z innych źródeł lub być skompilowane z rejestrów publicznych, a nie być wykradzione z NPD. Nawet renomowane źródła, takie jak Bleeping Computer, które przejrzało próbki wyciekłych danych, nie mogły potwierdzić, że informacje pochodziły z NPD.
Ponadto domniemane naruszenie bezpieczeństwa budzi pytania o samą ilość danych, które rzekomo zostały skradzione. Eksperci wyrazili sceptycyzm co do wykonalności eksfiltracji 2,9 miliarda rekordów bez wykrycia, zwłaszcza biorąc pod uwagę wrażliwy charakter informacji, którymi zajmuje się NPD.
Niepewna przyszłość: oczekiwanie na prawdę
Jak dotąd NPD nie skomentowało domniemanego naruszenia, ani nie dokonało żadnych oficjalnych ujawnień organom regulacyjnym w USA, Wielkiej Brytanii ani Kanadzie. Prawda stojąca za naruszeniem może wyjść na jaw dopiero wtedy, gdy sądy zażądają formalnej odpowiedzi od NPD.
W międzyczasie oskarżenia wywołały powszechne obawy i spekulacje. Czy te roszczenia zostaną udowodnione, czy okażą się fałszywe, pozostaje do sprawdzenia, ale sytuacja ta przypomina o potencjalnych zagrożeniach związanych z naruszeniami danych w dzisiejszej erze cyfrowej.
Podczas gdy czekamy na więcej informacji, kluczowe jest, aby podejść do sytuacji z ostrożnością. Chociaż nie można wykluczyć możliwości naruszenia bezpieczeństwa w NPD, brak konkretnych dowodów oznacza, że prawda może być bardziej złożona, niż sugerują nagłówki.