การละเมิดข้อมูลกว่า 2.9 พันล้านรายการก่อให้เกิดความตื่นตระหนกทางสื่อและดำเนินคดีทางกฎหมายต่อข้อมูลสาธารณะของประเทศ
ข่าวลือล่าสุดเกี่ยวกับการละเมิดข้อมูลครั้งใหญ่ที่เกี่ยวข้องกับ National Public Data (NPD) ซึ่งเป็นบริการตรวจสอบประวัติที่มีชื่อเสียง ทำให้เกิดกระแสข่าวฉาวและเกิดการฟ้องร้องหลายคดี แม้ว่าจะมีความสนใจในวงกว้าง แต่ความจริงเบื้องหลังการละเมิดที่ถูกกล่าวหายังคงคลุมเครือ โดยมีหลักฐานที่ชัดเจนเพียงเล็กน้อยที่จะสนับสนุนการกล่าวอ้างดังกล่าว
สารบัญ
ทวีตที่จุดชนวนให้เกิดกระแสวิพากษ์วิจารณ์
ข่าวลือเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นครั้งแรกเกิดขึ้นเมื่อวันที่ 8 เมษายน 2024 เมื่อผู้ใช้ชื่อ HackManac โพสต์บน X (เดิมชื่อ Twitter) เกี่ยวกับข้อมูลจำนวนมหาศาล 2.9 พันล้านรายการที่ถูกกล่าวหาว่าขโมยมาจากฐานข้อมูลของ NPD ตามโพสต์ดังกล่าว ข้อมูลดังกล่าวซึ่งรวมถึงบันทึกจากพลเมืองของสหรัฐอเมริกา แคนาดา และสหราชอาณาจักร กำลังถูกเสนอขายโดยผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ USDoD ในราคา 3.5 ล้านดอลลาร์ แม้ว่าการกล่าวอ้างดังกล่าวจะร้ายแรง แต่สื่อกระแสหลักกลับไม่สนใจโพสต์ดังกล่าวมากนัก และ NPD ก็ไม่ได้ตอบกลับ
โพสต์เริ่มต้นนี้ตามมาด้วยโพสต์อื่นในวันที่ 2 มิถุนายน 2024 จาก vx-underground ซึ่งเป็นชุมชนด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียง พวกเขาอ้างว่าได้ตรวจสอบตัวอย่างข้อมูลแล้วและยืนยันความถูกต้องแล้ว แต่สื่อและ NPD ยังคงนิ่งเฉยอีกครั้ง
ผลกระทบทางกฎหมายเมื่อคดีความแบบกลุ่มเริ่มขึ้น
สถานการณ์พลิกผันอย่างกะทันหันเมื่อวันที่ 1 สิงหาคม 2024 เมื่อ Christopher Hofmann ยื่นฟ้องคดีแบบกลุ่มต่อ NPD โดย Hofmann กล่าวหาว่าข้อมูลส่วนตัวที่ระบุตัวตนของเขาถูกบุกรุก โดยอ้างการแจ้งเตือนจากบริการป้องกันการโจรกรรมข้อมูลส่วนตัวของเขา คดีนี้และคดีอื่นอีก 3 คดีที่ยื่นโดยเหยื่อที่ถูกกล่าวหา ยังไม่มีหลักฐานที่แน่ชัดว่าเชื่อมโยงข้อมูลที่ถูกขโมยไปโดยตรงกับ NPD
คดีความของ Hofmann ซึ่งใช้หลักฐาน vx-underground เป็นหลักฐานชิ้นหลักนั้นเต็มไปด้วยความไม่สอดคล้องกัน ตัวอย่างเช่น ในตอนแรก คดีความได้ระบุว่าการละเมิดเกิดจาก USDoD แต่ภายหลังมีการแก้ไขระบุว่าผู้ก่อภัยคุกคามรายอื่นซึ่งรู้จักกันในชื่อ SXUL อาจเป็นผู้รับผิดชอบ นอกจากนี้ คดีความยังทำให้จำนวนบันทึกเพิ่มขึ้นจาก 2.9 พันล้านเป็น "พันล้านราย" ซึ่งตัวเลขนี้เกินจำนวนประชากรรวมกันของสหรัฐอเมริกา แคนาดา และสหราชอาณาจักรมาก
การเดินทางตกปลาที่เป็นไปได้?
ผู้เชี่ยวชาญแนะนำว่าคดีนี้อาจไม่เกี่ยวกับการพิสูจน์ความผิดของ NPD แต่เป็นการบังคับให้บริษัทแสดงหลักฐานความบริสุทธิ์มากกว่า ในสหรัฐอเมริกา ศาลสามารถบังคับให้จำเลยเปิดเผยข้อมูลที่อาจพิสูจน์หรือหักล้างข้อเรียกร้องที่มีต่อพวกเขาได้ กลยุทธ์นี้ซึ่งมักเรียกกันว่า "การออกเรือหาปลา" อาจเป็นเป้าหมายหลักของทีมกฎหมายของ Hofmann
Ilia Kolochenko ซีอีโอของ ImmuniWeb และผู้เชี่ยวชาญด้านกฎหมาย กล่าวว่ากลวิธีดังกล่าวพบได้ทั่วไปในสหรัฐอเมริกา มากกว่าในยุโรป ซึ่งโดยทั่วไปแล้วภาระในการพิสูจน์จะตกอยู่ที่โจทก์ หากศาลบังคับให้ NPD เปิดเผยข้อมูลเกี่ยวกับการละเมิดที่ถูกกล่าวหา อาจส่งผลร้ายแรงต่อบริษัทได้
ภาพรวมและสิ่งที่เรารู้จนถึงตอนนี้
แม้จะมีการดำเนินคดีและสื่อก็รายงานข่าวกันอย่างมากมาย แต่ก็ยังไม่มีหลักฐานที่ชัดเจนว่า NPD ถูกละเมิดข้อมูล ข้อมูลที่เผยแพร่อาจมาจากแหล่งอื่นหรือรวบรวมมาจากบันทึกสาธารณะ ไม่ใช่ถูกขโมยมาจาก NPD แม้แต่แหล่งข่าวที่มีชื่อเสียง เช่น Bleeping Computer ซึ่งตรวจสอบตัวอย่างข้อมูลที่รั่วไหลก็ไม่สามารถยืนยันได้ว่าข้อมูลดังกล่าวมาจาก NPD
ยิ่งไปกว่านั้น การละเมิดที่ถูกกล่าวหาทำให้เกิดคำถามเกี่ยวกับปริมาณข้อมูลมหาศาลที่ถูกขโมยไป ผู้เชี่ยวชาญแสดงความไม่เชื่อมั่นเกี่ยวกับความเป็นไปได้ในการขโมยข้อมูล 2.9 พันล้านรายการโดยไม่ถูกตรวจพบ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงลักษณะที่ละเอียดอ่อนของข้อมูลที่ NPD จัดการ
อนาคตที่ไม่แน่นอน: การรอคอยความจริง
จนถึงขณะนี้ NPD ยังไม่ได้แสดงความคิดเห็นเกี่ยวกับการละเมิดที่ถูกกล่าวหา และยังไม่ได้เปิดเผยข้อมูลอย่างเป็นทางการใดๆ ต่อหน่วยงานกำกับดูแลในสหรัฐอเมริกา สหราชอาณาจักร หรือแคนาดา ความจริงเบื้องหลังการละเมิดอาจเปิดเผยได้ก็ต่อเมื่อศาลเรียกร้องให้ NPD ตอบสนองอย่างเป็นทางการ
ในระหว่างนี้ ข้อกล่าวหาดังกล่าวได้จุดชนวนให้เกิดความกังวลและการคาดเดากันอย่างกว้างขวาง ซึ่งยังคงต้องรอดูกันต่อไปว่าข้อกล่าวหาดังกล่าวจะได้รับการพิสูจน์หรือพิสูจน์ได้ว่าเป็นเท็จหรือไม่ แต่สถานการณ์ดังกล่าวถือเป็นเครื่องเตือนใจถึงความเสี่ยงที่อาจเกิดขึ้นจากการละเมิดข้อมูลในยุคดิจิทัลปัจจุบัน
ในขณะที่เรารอข้อมูลเพิ่มเติม สิ่งสำคัญคือต้องพิจารณาสถานการณ์ด้วยความระมัดระวัง แม้ว่าจะยังไม่สามารถตัดความเป็นไปได้ของการละเมิดที่ NPD ออกไปได้ แต่การขาดหลักฐานที่เป็นรูปธรรมทำให้ความจริงอาจซับซ้อนกว่าที่พาดหัวข่าวบอกไว้