Передбачуваний витік даних 2,9 мільярдів записів викликав істерію в ЗМІ та судові дії проти національних публічних даних
Нещодавні чутки про масштабну витоку даних, пов’язану з відомим сервісом перевірки даних National Public Data (NPD), підпалили ЗМІ та викликали численні судові процеси. Незважаючи на широку увагу, правда про ймовірне порушення залишається оповитою невизначеністю, з невеликою кількістю конкретних доказів на підтвердження претензій.
Зміст
Твіт, який розпалив бурю
Перші чутки про потенційний злом з’явилися 8 квітня 2024 року, коли користувач на ім’я HackManac опублікував на X (колишньому Twitter) інформацію про приголомшливі 2,9 мільярда записів, нібито вилучені з баз даних NPD. Згідно з повідомленням, дані, які включають записи громадян Сполучених Штатів, Канади та Великобританії, були виставлені на продаж агентом загрози, відомим як USDoD, за 3,5 мільйона доларів. Незважаючи на суворість претензії, публікація була здебільшого проігнорована основними ЗМІ, і NPD не надала відповіді.
За цим початковим дописом 2 червня 2024 року з’явився ще один від vx-underground, відомої спільноти з кібербезпеки. Вони стверджували, що переглянули зразок даних і підтвердили його достовірність. І знову ЗМІ та NPD зберігали мовчання.
Правові наслідки, коли починаються колективні позови
Ситуація різко змінилася 1 серпня 2024 року, коли Крістофер Гофманн подав колективний позов проти NPD. Хофманн стверджував, що його особисту інформацію (PII) було скомпрометовано в результаті злому, посилаючись на повідомлення від його служби захисту від крадіжки особистих даних. Цей позов разом із трьома іншими, поданими ймовірними жертвами, ще не надав конкретних доказів зв’язку викрадених даних безпосередньо з NPD.
Позов Hofmann, який використовує vx-underground post як основний доказ, пронизаний суперечностями. Наприклад, спочатку він приписує порушення USDoD, але пізніше виправлення вказали, що відповідальність за це міг нести інший загрозник, відомий як SXUL. Крім того, у позові кількість записів збільшується з 2,9 мільярда до «мільярдів осіб», цифра значно перевищує сукупне населення США, Канади та Великобританії.
Можлива експедиція на риболовлю?
Експерти припускають, що позов може стосуватися не доведення провини NPD, а більше примусу компанії надати докази своєї невинуватості. У США суди можуть вимагати від відповідачів розкрити інформацію, яка може підтвердити або спростувати претензії проти них. Ця стратегія, яку часто називають «рибальською експедицією», може бути основною метою команди юристів Хофмана.
Ілля Колоченко, генеральний директор ImmuniWeb і юридичний експерт, зазначив, що така тактика більш поширена в США, ніж в Європі, де тягар доведення зазвичай лежить на позивачі. Якщо суд змусить NPD розкрити інформацію про ймовірне порушення, це може призвести до значних наслідків для компанії.
Більша картина та те, що ми знаємо на даний момент
Незважаючи на судовий позов і ажіотаж у ЗМІ, остаточних доказів того, що NPD було порушено, досі немає. Дані, які поширюються, могли походити з інших джерел або були зібрані з публічних архівів, а не були вилучені з NPD. Навіть такі авторитетні джерела, як Bleeping Computer, які перевірили зразки витоку даних, не змогли підтвердити, що інформація надійшла від NPD.
Крім того, ймовірне порушення викликає питання щодо величезного обсягу даних, які, як повідомляється, викрадено. Експерти висловили скептицизм щодо доцільності вилучення 2,9 мільярда записів без виявлення, особливо з огляду на конфіденційний характер інформації, яку обробляє NPD.
Невизначене майбутнє: в очікуванні правди
На даний момент NPD не прокоментувала ймовірне порушення, а також не надала жодних офіційних відомостей регуляторним органам у США, Великобританії чи Канаді. Правда про порушення може з’ясуватися, лише якщо суди вимагатимуть від NPD офіційної відповіді.
Тим часом ці звинувачення викликали широке занепокоєння та припущення. Чи будуть ці заяви обґрунтованими чи доведеними неправдивими, ще належить побачити, але ця ситуація служить нагадуванням про потенційні ризики, пов’язані з витоком даних у сучасну цифрову епоху.
Оскільки ми очікуємо додаткової інформації, дуже важливо підходити до ситуації з обережністю. Хоча ймовірність порушення в NPD не можна виключити, відсутність конкретних доказів означає, що правда може бути складнішою, ніж припускають заголовки.