Ang Di-umano'y Paglabag sa Data ng 2.9 Bilyong Rekord ay Nag-udyok sa Media Hysteria at Legal na Aksyon Laban sa Pambansang Pampublikong Data

Ang mga kamakailang alingawngaw ng isang napakalaking paglabag sa data na kinasasangkutan ng National Public Data (NPD), isang kilalang serbisyo sa pagsusuri sa background, ay nagsunog sa media at nagdulot ng maraming demanda. Sa kabila ng malawakang atensyon, ang katotohanan sa likod ng di-umano'y paglabag ay nananatiling nababalot ng kawalan ng katiyakan, na may kaunting konkretong ebidensya upang patunayan ang mga pag-aangkin.

Isang Tweet na Nag-apoy ng Sunog

Ang mga unang bulong ng isang potensyal na paglabag ay lumabas noong Abril 8, 2024, nang ang isang user na nagngangalang HackManac ay nag-post sa X (dating Twitter) tungkol sa nakakagulat na 2.9 bilyong talaan na diumano'y na-exfiltrate mula sa mga database ng NPD. Ayon sa post, ang data, na kinabibilangan ng mga talaan mula sa mga mamamayan ng United States, Canada, at United Kingdom, ay inaalok para ibenta ng isang threat actor na kilala bilang USDoD sa halagang $3.5 milyon. Sa kabila ng kalubhaan ng claim, ang post ay higit na hindi pinansin ng mainstream media, at hindi nagbigay ng tugon ang NPD.

Ang unang post na ito ay sinundan ng isa pa noong Hunyo 2, 2024, mula sa vx-underground, isang kilalang komunidad ng cybersecurity. Sinabi nila na nasuri nila ang isang sample ng data at nakumpirma ang pagiging tunay nito. Muli, nanatiling tahimik ang media at NPD.

Ang Legal na Fallout habang Nagsisimula ang Mga Paghahabla ng Class Action

Ang sitwasyon ay biglang nagbago noong Agosto 1, 2024, nang magsampa si Christopher Hofmann ng demanda sa class action laban sa NPD. Sinabi ni Hofmann na ang kanyang personal na pagkakakilanlan na impormasyon (PII) ay nakompromiso sa paglabag, na binanggit ang isang abiso mula sa kanyang serbisyo sa proteksyon sa pagnanakaw ng pagkakakilanlan. Ang demanda na ito, kasama ang tatlong iba pa na isinampa ng mga sinasabing biktima, ay hindi pa nagbibigay ng konkretong patunay na direktang nag-uugnay sa exfiltrated na data sa NPD.

Ang kaso ng Hofmann, na gumagamit ng vx-underground post bilang pangunahing ebidensya nito, ay puno ng mga hindi pagkakapare-pareho. Halimbawa, iniuugnay nito sa simula ang paglabag sa USDoD, ngunit ang mga pagwawasto sa kalaunan ay nagpahiwatig na ang ibang aktor ng pagbabanta, na kilala bilang SXUL, ay maaaring may pananagutan. Higit pa rito, pinalaki ng demanda ang bilang ng mga tala mula 2.9 bilyon hanggang sa "bilyong-bilyong indibidwal," isang bilang na higit pa sa pinagsamang populasyon ng US, Canada, at UK.

Isang Posibleng Ekspedisyon sa Pangingisda?

Iminumungkahi ng mga eksperto na ang demanda ay maaaring mas kaunti tungkol sa pagpapatunay ng kasalanan ng NPD at higit pa tungkol sa pagpilit sa kumpanya na magbigay ng katibayan ng pagiging inosente nito. Sa US, maaaring hilingin ng mga korte sa mga nasasakdal na ibunyag ang impormasyon na maaaring patunayan o pabulaanan ang mga claim laban sa kanila. Ang diskarteng ito, madalas na tinutukoy bilang isang "ekspedisyon sa pangingisda," ay maaaring ang pangunahing layunin ng legal na koponan ni Hofmann.

Ilia Kolochenko, CEO ng ImmuniWeb at isang eksperto sa batas, ay nabanggit na ang mga ganitong taktika ay mas karaniwan sa US kaysa sa Europa, kung saan ang pasanin ng patunay ay karaniwang nakasalalay sa nagsasakdal. Kung pipilitin ng korte ang NPD na ibunyag ang impormasyon tungkol sa pinaghihinalaang paglabag, maaari itong humantong sa mga makabuluhang kahihinatnan para sa kumpanya.

Ang Mas Malaking Larawan at Kung Ano ang Alam Natin Sa Ngayon

Sa kabila ng legal na aksyon at media frenzy, wala pa ring tiyak na patunay na nilabag ang NPD. Ang data na ipinakalat ay maaaring nagmula sa ibang mga mapagkukunan o na-compile mula sa mga pampublikong talaan, sa halip na i-exfiltrate mula sa NPD. Kahit na ang mga kagalang-galang na mapagkukunan tulad ng Bleeping Computer, na nagsuri ng mga sample ng leaked data, ay hindi makumpirma na ang impormasyon ay nagmula sa NPD.

Bukod dito, ang di-umano'y paglabag ay nagdudulot ng mga katanungan tungkol sa dami ng data na naiulat na ninakaw. Ang mga eksperto ay nagpahayag ng pag-aalinlangan tungkol sa pagiging posible ng pag-exfiltrate ng 2.9 bilyong talaan nang walang pagtuklas, lalo na dahil sa sensitibong katangian ng impormasyong pinangangasiwaan ng NPD.

Ang Di-Tiyak na Kinabukasan: Naghihintay sa Katotohanan

Sa ngayon, hindi nagkomento ang NPD tungkol sa di-umano'y paglabag, at hindi rin ito gumawa ng anumang opisyal na pagsisiwalat sa mga regulatory body sa US, UK, o Canada. Ang katotohanan sa likod ng paglabag ay maaari lamang mahayag kung ang mga korte ay humingi ng pormal na tugon mula sa NPD.

Samantala, ang mga paratang ay nagdulot ng malawakang pag-aalala at haka-haka. Kung ang mga claim na ito ay mapapatunayan o mapapatunayang mali ay nananatiling makikita, ngunit ang sitwasyon ay nagsisilbing paalala ng mga potensyal na panganib na nauugnay sa mga paglabag sa data sa digital age ngayon.

Habang naghihintay tayo ng higit pang impormasyon, mahalagang lapitan ang sitwasyon nang may pag-iingat. Bagama't hindi maitatapon ang posibilidad ng paglabag sa NPD, ang kakulangan ng konkretong ebidensya ay nangangahulugan na ang katotohanan ay maaaring mas kumplikado kaysa sa iminumungkahi ng mga headline.