Domnevna kršitev podatkov 2,9 milijarde zapisov sprožila medijsko histerijo in pravne ukrepe proti nacionalnim javnim podatkom
Nedavne govorice o obsežni kršitvi podatkov, ki vključuje National Public Data (NPD), ugledno storitev za preverjanje preteklosti, so podžgale medije in sprožile številne tožbe. Kljub široki pozornosti je resnica za domnevno kršitvijo še vedno zavita v negotovost, z malo konkretnimi dokazi za utemeljitev trditev.
Kazalo
Tvit, ki je zanetil nevihto
Prva šušljanja o morebitnem vdoru so se pojavila 8. aprila 2024, ko je uporabnik z imenom HackManac na X (prej Twitterju) objavil osupljivih 2,9 milijarde zapisov, domnevno ukradenih iz baz podatkov NPD. Glede na objavo je podatke, ki vključujejo zapise državljanov Združenih držav, Kanade in Združenega kraljestva, ponujal v prodajo akter grožnje, znan kot USDoD, za 3,5 milijona dolarjev. Kljub resnosti trditve so osrednji mediji objavo večinoma prezrli, NPD pa ni izdal odgovora.
Tej začetni objavi je 2. junija 2024 sledila še ena od vx-underground, znane skupnosti kibernetske varnosti. Trdili so, da so pregledali vzorec podatkov in potrdili njihovo pristnost. Tudi tokrat so mediji in NPD ostali tiho.
Pravne posledice, ko se začnejo skupinske tožbe
Situacija se je dramatično obrnila 1. avgusta 2024, ko je Christopher Hofmann vložil skupinsko tožbo proti NPD. Hofmann je trdil, da so bili njegovi osebno določljivi podatki (PII) v kršitvi ogroženi, pri čemer se je skliceval na obvestilo svoje službe za zaščito pred krajo identitete. Ta tožba, skupaj s tremi drugimi, ki so jih vložile domnevne žrtve, še ni zagotovila konkretnih dokazov, ki povezujejo eksfiltrirane podatke neposredno z NPD.
Hofmannova tožba, ki uporablja vx-underground post kot glavni dokaz, je polna nedoslednosti. Na primer, sprva kršitev pripisuje USDoD, vendar so kasnejši popravki pokazali, da je morda odgovoren drug akter grožnje, znan kot SXUL. Poleg tega tožba napihuje število zapisov z 2,9 milijarde na "milijarde posameznikov", številka, ki močno presega skupno število prebivalcev ZDA, Kanade in Združenega kraljestva.
Morebitna ribolovna odprava?
Strokovnjaki menijo, da se tožba morda manj nanaša na dokazovanje krivde NPD in bolj na prisilo podjetja, da predloži dokaze o svoji nedolžnosti. V ZDA lahko sodišča od tožencev zahtevajo, da razkrijejo informacije, ki bi lahko dokazale ali ovrgle obtožbe proti njim. Ta strategija, ki se pogosto imenuje "ribiška ekspedicija", je morda glavni cilj Hofmannove pravne ekipe.
Ilia Kolochenko, izvršni direktor podjetja ImmuniWeb in pravni strokovnjak, je opozoril, da so takšne taktike pogostejše v ZDA kot v Evropi, kjer dokazno breme običajno nosi tožnik. Če bi sodišče prisililo NPD, da razkrije informacije o domnevni kršitvi, bi to lahko povzročilo pomembne posledice za podjetje.
Širša slika in tisto, kar vemo do zdaj
Kljub pravnim postopkom in medijski blaznosti še vedno ni dokončnega dokaza, da je bil NPD kršen. Podatki, ki se razširjajo, morda izvirajo iz drugih virov ali so bili zbrani iz javnih evidenc, namesto da bi bili izločeni iz NPD. Celo ugledni viri, kot je Bleeping Computer, ki je pregledal vzorce razkritih podatkov, niso mogli potrditi, da je informacija prišla od NPD.
Poleg tega domnevna kršitev sproža vprašanja o samem obsegu podatkov, ki naj bi bili ukradeni. Strokovnjaki so izrazili skepticizem glede izvedljivosti izločanja 2,9 milijarde zapisov brez odkrivanja, zlasti glede na občutljivo naravo informacij, ki jih obravnava NPD.
Negotova prihodnost: V pričakovanju resnice
Do zdaj NPD ni komentiral domnevne kršitve, niti ni uradno razkril regulativnih organov v ZDA, Združenem kraljestvu ali Kanadi. Resnica za kršitvijo bo morda prišla na dan le, če bodo sodišča od NPD zahtevala uradni odgovor.
Obtožbe so medtem sprožile široko zaskrbljenost in špekulacije. Ali bodo te trditve utemeljene ali dokazano napačne, bomo še videli, vendar situacija služi kot opomin na morebitna tveganja, povezana s kršitvami podatkov v današnji digitalni dobi.
Ker čakamo na več informacij, je ključnega pomena, da k situaciji pristopimo previdno. Čeprav možnosti kršitve pri NPD ni mogoče izključiti, pomanjkanje konkretnih dokazov pomeni, da je resnica morda bolj zapletena, kot nakazujejo naslovi.