Údajné porušenie údajov vo výške 2,9 miliardy záznamov vyvoláva mediálnu hystériu a právne kroky proti národným verejným údajom
Nedávne fámy o masívnom porušení údajov, ktoré zahŕňa National Public Data (NPD), prominentnú službu na kontrolu pozadí, podnietili médiá a vyvolali viaceré súdne spory. Napriek širokej pozornosti, pravda za údajným porušením zostáva zahalená neistotou a len málo konkrétnych dôkazov na podloženie tvrdení.
Obsah
Tweet, ktorý zapálil ohnivú búrku
Prvé šepkanie o možnom porušení sa objavilo 8. apríla 2024, keď používateľ menom HackManac zverejnil na X (predtým Twitter) ohromujúcich 2,9 miliardy záznamov údajne exfiltrovaných z databáz NPD. Podľa príspevku údaje, ktoré zahŕňajú záznamy od občanov Spojených štátov, Kanady a Spojeného kráľovstva, ponúkal na predaj hrozba známy ako USDoD za 3,5 milióna dolárov. Napriek vážnosti tvrdenia bol príspevok do značnej miery ignorovaný mainstreamovými médiami a NPD nereagovala.
Po tomto úvodnom príspevku nasledoval ďalší 2. júna 2024 od vx-underground, známej komunity zaoberajúcej sa kybernetickou bezpečnosťou. Tvrdili, že preskúmali vzorku údajov a potvrdili ich pravosť. Médiá a NPD opäť mlčali.
Právny spád, keď sa začnú hromadné žaloby
Situácia nabrala dramatický spád 1. augusta 2024, keď Christopher Hofmann podal hromadnú žalobu na NPD. Hofmann tvrdil, že jeho osobné údaje (PII) boli pri narušení ohrozené, pričom citoval oznámenie od svojej služby na ochranu pred krádežou identity. Táto žaloba, spolu s tromi ďalšími podanými údajnými obeťami, ešte neposkytla konkrétny dôkaz o prepojení exfiltrovaných údajov priamo s NPD.
Súdny spor Hofmann, ktorý používa post vx-underground ako svoj primárny dôkaz, je plný nezrovnalostí. Napríklad pôvodne pripisuje porušenie USDoD, ale neskoršie opravy naznačili, že zodpovedný mohol byť iný aktér hrozby, známy ako SXUL. Okrem toho žaloba zvyšuje počet záznamov z 2,9 miliardy na „miliardy jednotlivcov“, čo je číslo, ktoré ďaleko presahuje súhrnnú populáciu USA, Kanady a Spojeného kráľovstva.
Možná rybárska výprava?
Odborníci naznačujú, že žaloba môže byť menej o dokázaní viny NPD a viac o prinútení spoločnosti, aby predložila dôkazy o svojej nevine. V USA môžu súdy požadovať od žalovaných, aby zverejnili informácie, ktoré by mohli dokázať alebo vyvrátiť nároky voči nim. Táto stratégia, často označovaná ako „rybárska výprava“, môže byť hlavným cieľom Hofmannovho právneho tímu.
Ilia Kolochenko, generálny riaditeľ ImmuniWeb a právny expert, poznamenal, že takéto taktiky sú bežnejšie v USA ako v Európe, kde dôkazné bremeno zvyčajne leží na žalobcovi. Ak súd prinúti NPD zverejniť informácie o údajnom porušení, môže to mať pre spoločnosť značné následky.
Väčší obraz a to, čo zatiaľ vieme
Napriek právnym krokom a mediálnemu šialenstvu stále neexistuje žiadny definitívny dôkaz o porušení NPD. Dáta, ktoré sa šíria, mohli pochádzať z iných zdrojov alebo boli zostavené z verejných záznamov, namiesto toho, aby boli získané z NPD. Dokonca ani renomované zdroje ako Bleeping Computer, ktoré preskúmali vzorky uniknutých údajov, nedokázali potvrdiť, že informácie pochádzajú od NPD.
Okrem toho údajné porušenie vyvoláva otázky o úplnom objeme údajne ukradnutých údajov. Odborníci vyjadrili skepsu k uskutočniteľnosti úniku 2,9 miliardy záznamov bez odhalenia, najmä vzhľadom na citlivú povahu informácií, s ktorými NPD nakladá.
Neistá budúcnosť: Čakanie na pravdu
NPD zatiaľ údajné porušenie nekomentovala, ani neposkytla žiadne oficiálne informácie regulačným orgánom v USA, Spojenom kráľovstve alebo Kanade. Pravda za porušením môže vyjsť najavo len vtedy, ak súdy požiadajú NPD o formálnu odpoveď.
Medzičasom tieto obvinenia vyvolali rozšírené obavy a špekulácie. Či budú tieto tvrdenia podložené alebo sa preukážu ako nepravdivé, to sa ešte len uvidí, no situácia slúži ako pripomienka potenciálnych rizík spojených s únikmi údajov v dnešnom digitálnom veku.
Keďže čakáme na ďalšie informácie, je dôležité pristupovať k situácii opatrne. Zatiaľ čo možnosť porušenia NPD nemožno vylúčiť, nedostatok konkrétnych dôkazov znamená, že pravda môže byť zložitejšia, ako naznačujú titulky.