Предполагаемая утечка данных о 2,9 миллиардах записей спровоцировала истерию в СМИ и судебные иски против национальных публичных данных

Недавние слухи о масштабной утечке данных, связанной с National Public Data (NPD), известной службой проверки биографий, вызвали бурю в СМИ и спровоцировали множество судебных исков. Несмотря на широкое внимание, правда о предполагаемой утечке остается окутанной неопределенностью, и мало конкретных доказательств, подтверждающих эти заявления.

Твит, вызвавший бурю

Первые слухи о потенциальной утечке появились 8 апреля 2024 года, когда пользователь под именем HackManac опубликовал в X (ранее Twitter) сообщение о ошеломляющих 2,9 миллиардах записей, якобы извлеченных из баз данных NPD. Согласно сообщению, данные, включающие записи граждан США, Канады и Великобритании, предлагались на продажу субъектом угрозы, известным как USDoD, за 3,5 миллиона долларов. Несмотря на серьезность заявления, сообщение было в значительной степени проигнорировано основными СМИ, и NPD не отреагировала.

За этим первым постом последовал еще один 2 июня 2024 года от vx-underground, известного сообщества по кибербезопасности. Они заявили, что проверили образец данных и подтвердили его подлинность. И снова СМИ и NPD промолчали.

Правовые последствия начала коллективных исков

Ситуация резко изменилась 1 августа 2024 года, когда Кристофер Хофманн подал коллективный иск против NPD. Хофманн утверждал, что его персональные данные (PII) были скомпрометированы в результате нарушения, ссылаясь на уведомление от его службы защиты от кражи личных данных. Этот иск, как и три других, поданных предполагаемыми жертвами, еще не предоставил конкретных доказательств, связывающих извлеченные данные напрямую с NPD.

Иск Хофмана, в котором в качестве основного доказательства используется пост vx-underground, изобилует несоответствиями. Например, изначально он приписывает взлом USDoD, но более поздние исправления показали, что ответственность могла нести другая сторона, известная как SXUL. Кроме того, в иске количество записей увеличено с 2,9 млрд до «миллиардов лиц», что намного превышает совокупное население США, Канады и Великобритании.

Возможная рыболовная экспедиция?

Эксперты предполагают, что иск может быть не столько о доказательстве виновности NPD, сколько о принуждении компании предоставить доказательства своей невиновности. В США суды могут потребовать от ответчиков раскрыть информацию, которая может подтвердить или опровергнуть выдвинутые против них обвинения. Эта стратегия, часто называемая «рыболовной экспедицией», может быть основной целью юридической команды Хофманна.

Илья Колоченко, генеральный директор ImmuniWeb и эксперт по правовым вопросам, отметил, что подобная тактика более распространена в США, чем в Европе, где бремя доказывания обычно лежит на истце. Если суд обяжет NPD раскрыть информацию о предполагаемом нарушении, это может повлечь за собой существенные последствия для компании.

Общая картина и то, что мы знаем на данный момент

Несмотря на судебные иски и шумиху в СМИ, до сих пор нет окончательных доказательств того, что NPD был взломан. Распространяемые данные могли быть получены из других источников или быть скомпилированы из публичных записей, а не выкачаны из NPD. Даже авторитетные источники, такие как Bleeping Computer, которые просмотрели образцы утекших данных, не смогли подтвердить, что информация поступила от NPD.

Более того, предполагаемое нарушение поднимает вопросы об объеме данных, которые, как сообщается, были украдены. Эксперты выразили скептицизм относительно возможности извлечения 2,9 млрд записей без обнаружения, особенно учитывая конфиденциальный характер информации, с которой работает NPD.

Неопределенное будущее: в ожидании правды

На данный момент NPD не прокомментировала предполагаемое нарушение и не сделала никаких официальных заявлений регулирующим органам в США, Великобритании или Канаде. Правда о нарушении может раскрыться только в том случае, если суд потребует от NPD официального ответа.

В то же время, обвинения вызвали широкое беспокойство и спекуляции. Будут ли эти заявления подтверждены или окажутся ложными, еще предстоит увидеть, но ситуация служит напоминанием о потенциальных рисках, связанных с утечками данных в сегодняшнюю цифровую эпоху.

Пока мы ждем больше информации, крайне важно подходить к ситуации с осторожностью. Хотя возможность утечки в NPD нельзя исключить, отсутствие конкретных доказательств означает, что правда может быть сложнее, чем предполагают заголовки.