A Suposta Violação de Dados de 2,9 Bilhões de Registros Gera Histeria na Mídia e Ação Legal contra o Dados Públicos Nacionais
Os rumores recentes de uma violação de dados massiva envolvendo o National Public Data (NPD), um serviço proeminente de verificação de antecedentes, incendiaram a mídia e provocaram vários processos judiciais. Apesar da ampla atenção, a verdade por trás da suposta violação permanece envolta em incerteza, com pouca evidência concreta para substanciar as alegações.
Índice
Um Tweet que Desencadeou uma Tempestade de Fogo
Os primeiros sussurros de uma potencial violação surgiram em 8 de abril de 2024, quando um usuário chamado HackManac postou no X (antigo Twitter) sobre impressionantes 2,9 bilhões de registros supostamente exfiltrados dos bancos de dados do NPD. De acordo com a postagem, os dados, que incluem registros de cidadãos dos Estados Unidos, Canadá e Reino Unido, estavam sendo oferecidos para venda por um agente de ameaça conhecido como USDoD por US$ 3,5 milhões. Apesar da gravidade da alegação, a postagem foi amplamente ignorada pela grande mídia, e o NPD não emitiu uma resposta.
Esta postagem inicial foi seguida por outra em 2 de junho de 2024, da vx-underground, uma comunidade de segurança cibernética bem conhecida. Eles alegaram ter revisado uma amostra dos dados e confirmado sua autenticidade. Mais uma vez, a mídia e o NPD permaneceram em silêncio.
As Consequências Jurídicas à Medida em que as Ações Coletivas Começam
A situação tomou um rumo dramático em 1º de agosto de 2024, quando Christopher Hofmann entrou com uma ação coletiva contra a NPD. Hofmann alegou que suas informações de identificação pessoal (PII) foram comprometidas na violação, citando uma notificação de seu serviço de proteção contra roubo de identidade. Esta ação, junto com outras três movidas por supostas vítimas, ainda precisa fornecer provas concretas que vinculem os dados exfiltrados diretamente à NPD.
O processo Hofmann, que usa o post vx-underground como sua principal peça de evidência, está cheio de inconsistências. Por exemplo, ele inicialmente atribui a violação ao USDoD, mas correções posteriores indicaram que um agente de ameaça diferente, conhecido como SXUL, pode ter sido o responsável. Além disso, o processo infla o número de registros de 2,9 bilhões para "bilhões de indivíduos", um número que excede em muito a população combinada dos EUA, Canadá e Reino Unido.
Uma Possível 'Expedição de Pesca'?
Especialistas sugerem que o processo pode ser menos sobre provar a culpabilidade da NPD e mais sobre obrigar a empresa a fornecer evidências de sua inocência. Nos EUA, os tribunais podem exigir que os réus divulguem informações que possam provar ou refutar as alegações contra eles. Essa estratégia, frequentemente chamada de "expedição de pesca", pode ser o objetivo principal da equipe jurídica de Hofmann.
Ilia Kolochenko, CEO da ImmuniWeb e especialista jurídica, observou que tais táticas são mais comuns nos EUA do que na Europa, onde o ônus da prova geralmente recai sobre o autor. Se o tribunal obrigar a NPD a divulgar informações sobre a suposta violação, isso pode levar a consequências significativas para a empresa.
O Panorama Geral e o que Sabemos até Agora
Apesar da ação legal e do frenesi da mídia, ainda não há prova definitiva de que o NPD foi violado. Os dados que estão circulando podem ter se originado de outras fontes ou foram compilados de registros públicos, em vez de serem exfiltrados do NPD. Mesmo fontes respeitáveis como o Bleeping Computer, que revisou amostras dos dados vazados, não puderam confirmar que as informações vieram do NPD.
Além disso, a suposta violação levanta questões sobre o grande volume de dados supostamente roubados. Especialistas expressaram ceticismo sobre a viabilidade de exfiltrar 2,9 bilhões de registros sem detecção, especialmente dada a natureza sensível das informações que o NPD manipula.
Futuro Incerto: Aguardando a Verdade
Até agora, a NPD não comentou sobre a suposta violação, nem fez nenhuma divulgação oficial aos órgãos reguladores nos EUA, Reino Unido ou Canadá. A verdade por trás da violação só pode vir à tona se os tribunais exigirem uma resposta formal da NPD.
Enquanto isso, as alegações desencadearam preocupação e especulação generalizadas. Se essas alegações serão comprovadas ou provadas falsas ainda não se sabe, mas a situação serve como um lembrete dos riscos potenciais associados a violações de dados na era digital de hoje.
Enquanto esperamos por mais informações, é crucial abordar a situação com cautela. Embora a possibilidade de uma violação no NPD não possa ser descartada, a falta de evidências concretas significa que a verdade pode ser mais complexa do que as manchetes sugerem.