Presupusa încălcare a datelor a 2,9 miliarde de înregistrări provoacă isteria mass-media și acțiunile legale împotriva datelor publice naționale
Zvonurile recente despre o încălcare masivă a datelor care implică National Public Data (NPD), un serviciu proeminent de verificare a antecedentelor, au incendiat mass-media și au declanșat mai multe procese. În ciuda atenției larg răspândite, adevărul din spatele presupusei încălcări rămâne învăluit în incertitudine, cu puține dovezi concrete care să susțină afirmațiile.
Cuprins
Un tweet care a aprins o furtună de foc
Primele șoapte ale unei potențiale încălcări au apărut pe 8 aprilie 2024, când un utilizator pe nume HackManac a postat pe X (fostul Twitter) despre un număr uimitor de 2,9 miliarde de înregistrări despre care se presupune că au fost exfiltrate din bazele de date ale NPD. Potrivit postării, datele, care includ înregistrări ale cetățenilor din Statele Unite, Canada și Regatul Unit, au fost oferite spre vânzare de un actor de amenințare cunoscut sub numele de USDoD pentru 3,5 milioane de dolari. În ciuda gravității revendicării, postarea a fost în mare măsură ignorată de mass-media, iar NPD nu a dat niciun răspuns.
Această postare inițială a fost urmată de o alta pe 2 iunie 2024, de la vx-underground, o comunitate cunoscută de securitate cibernetică. Ei au susținut că au examinat un eșantion de date și au confirmat autenticitatea acestora. Din nou, mass-media și NPD au rămas tăcuți.
Fallout legal pe măsură ce încep procesele de acțiune colectivă
Situația a luat o întorsătură dramatică la 1 august 2024, când Christopher Hofmann a intentat un proces colectiv împotriva NPD. Hofmann a susținut că informațiile sale de identificare personală (PII) au fost compromise în încălcare, invocând o notificare din partea serviciului său de protecție împotriva furtului de identitate. Acest proces, împreună cu alte trei intentate de pretinse victime, încă nu a furnizat dovezi concrete care să lege datele exfiltrate direct de NPD.
Procesul Hofmann, care folosește postul vx-underground ca principală dovadă, este plin de inconsecvențe. De exemplu, inițial atribuie încălcarea USDoD, dar corecțiile ulterioare au indicat că un alt actor de amenințare, cunoscut sub numele de SXUL, ar fi putut fi responsabil. Mai mult, procesul crește numărul de înregistrări de la 2,9 miliarde la „miliarde de indivizi”, o cifră depășind cu mult populația combinată din SUA, Canada și Marea Britanie.
O posibilă expediție de pescuit?
Experții sugerează că procesul poate fi mai puțin despre dovedirea vinovăției NPD și mai mult despre obligarea companiei să furnizeze dovezi ale nevinovăției sale. În SUA, instanțele pot cere inculpaților să dezvăluie informații care ar putea dovedi sau infirma pretențiile împotriva lor. Această strategie, denumită adesea „expediție de pescuit”, ar putea fi obiectivul principal al echipei juridice a lui Hofmann.
Ilia Kolochenko, CEO al ImmuniWeb și expert juridic, a remarcat că astfel de tactici sunt mai frecvente în SUA decât în Europa, unde sarcina probei revine de obicei reclamantului. Dacă instanța obligă NPD să dezvăluie informații despre presupusa încălcare, aceasta ar putea duce la consecințe semnificative pentru companie.
Imaginea de ansamblu și ceea ce știm până acum
În ciuda acțiunilor în justiție și a freneziei mass-media, nu există încă o dovadă definitivă că NPD a fost încălcat. Este posibil ca datele vehiculate să fi provenit din alte surse sau să fi fost compilate din înregistrări publice, mai degrabă decât să fie exfiltrate din NPD. Nici măcar surse de renume, cum ar fi Bleeping Computer, care a analizat mostre ale datelor scurse, nu au putut confirma că informațiile provin de la NPD.
Mai mult, presupusa încălcare ridică întrebări cu privire la volumul mare de date despre care se spune că au fost furate. Experții și-au exprimat scepticismul cu privire la fezabilitatea exfiltrării a 2,9 miliarde de înregistrări fără a fi detectate, mai ales având în vedere natura sensibilă a informațiilor pe care le gestionează NPD.
Viitorul incert: în așteptarea adevărului
Până acum, NPD nu a comentat despre presupusa încălcare și nici nu a făcut nicio dezvăluire oficială organismelor de reglementare din SUA, Marea Britanie sau Canada. Adevărul din spatele încălcării poate ieși la iveală doar dacă instanțele cer un răspuns oficial din partea NPD.
Între timp, acuzațiile au declanșat îngrijorări și speculații larg răspândite. Rămâne de văzut dacă aceste afirmații vor fi fundamentate sau dovedite false, dar situația servește ca o reamintire a riscurilor potențiale asociate cu încălcarea datelor în era digitală de astăzi.
Pe măsură ce așteptăm mai multe informații, este esențial să abordăm situația cu prudență. Deși nu poate fi exclusă posibilitatea unei încălcări la NPD, lipsa unor dovezi concrete înseamnă că adevărul poate fi mai complex decât sugerează titlurile.