Vụ vi phạm dữ liệu bị cáo buộc của 2,9 tỷ hồ sơ gây ra sự hoảng loạn của giới truyền thông và hành động pháp lý chống lại dữ liệu công cộng quốc gia

Những tin đồn gần đây về một vụ vi phạm dữ liệu lớn liên quan đến National Public Data (NPD), một dịch vụ kiểm tra lý lịch nổi tiếng, đã khiến giới truyền thông dậy sóng và gây ra nhiều vụ kiện. Mặc dù nhận được sự chú ý rộng rãi, sự thật đằng sau vụ vi phạm bị cáo buộc vẫn còn là ẩn số, với rất ít bằng chứng cụ thể để chứng minh cho các khiếu nại.

Một Tweet Gây Ra Một Cơn Bão Lửa

Những lời đồn đầu tiên về một vụ vi phạm tiềm ẩn đã xuất hiện vào ngày 8 tháng 4 năm 2024, khi một người dùng có tên HackManac đăng trên X (trước đây là Twitter) về 2,9 tỷ hồ sơ bị cáo buộc đã bị đánh cắp khỏi cơ sở dữ liệu của NPD. Theo bài đăng, dữ liệu, bao gồm hồ sơ của công dân Hoa Kỳ, Canada và Vương quốc Anh, đang được một tác nhân đe dọa được gọi là USDoD rao bán với giá 3,5 triệu đô la. Mặc dù tuyên bố này rất nghiêm trọng, nhưng bài đăng này phần lớn bị các phương tiện truyền thông chính thống bỏ qua và NPD không đưa ra phản hồi.

Bài đăng ban đầu này được theo sau bởi một bài đăng khác vào ngày 2 tháng 6 năm 2024, từ vx-underground, một cộng đồng an ninh mạng nổi tiếng. Họ tuyên bố đã xem xét một mẫu dữ liệu và xác nhận tính xác thực của nó. Một lần nữa, giới truyền thông và NPD vẫn im lặng.

Hậu quả pháp lý khi các vụ kiện tập thể bắt đầu

Tình hình đã có bước ngoặt lớn vào ngày 1 tháng 8 năm 2024, khi Christopher Hofmann đệ đơn kiện tập thể chống lại NPD. Hofmann cáo buộc rằng thông tin nhận dạng cá nhân (PII) của ông đã bị xâm phạm trong vụ vi phạm, trích dẫn thông báo từ dịch vụ bảo vệ chống trộm danh tính của ông. Vụ kiện này, cùng với ba vụ kiện khác do các nạn nhân được cho là đệ trình, vẫn chưa đưa ra được bằng chứng cụ thể liên kết dữ liệu bị đánh cắp trực tiếp với NPD.

Vụ kiện Hofmann, sử dụng bài đăng vx-underground làm bằng chứng chính, có rất nhiều điểm không nhất quán. Ví dụ, ban đầu vụ việc được quy cho USDoD, nhưng sau đó các bản sửa lỗi chỉ ra rằng một tác nhân đe dọa khác, được gọi là SXUL, có thể chịu trách nhiệm. Hơn nữa, vụ kiện thổi phồng số lượng hồ sơ từ 2,9 tỷ lên "hàng tỷ cá nhân", một con số vượt xa tổng dân số của Hoa Kỳ, Canada và Vương quốc Anh.

Một chuyến đi câu cá có thể xảy ra?

Các chuyên gia cho rằng vụ kiện có thể không phải là chứng minh tội lỗi của NPD mà là buộc công ty phải cung cấp bằng chứng về sự vô tội của mình. Tại Hoa Kỳ, tòa án có thể yêu cầu bị đơn tiết lộ thông tin có thể chứng minh hoặc bác bỏ các khiếu nại chống lại họ. Chiến lược này, thường được gọi là "cuộc thám hiểm câu cá", có thể là mục tiêu chính của nhóm luật sư của Hofmann.

Ilia Kolochenko, CEO của ImmuniWeb và là chuyên gia pháp lý, lưu ý rằng những chiến thuật như vậy phổ biến hơn ở Hoa Kỳ so với ở Châu Âu, nơi gánh nặng chứng minh thường thuộc về nguyên đơn. Nếu tòa án buộc NPD tiết lộ thông tin về vi phạm bị cáo buộc, điều đó có thể dẫn đến hậu quả đáng kể cho công ty.

Bức tranh toàn cảnh và những gì chúng ta biết cho đến nay

Bất chấp hành động pháp lý và sự điên cuồng của giới truyền thông, vẫn chưa có bằng chứng xác đáng nào cho thấy NPD đã bị vi phạm. Dữ liệu đang được lưu hành có thể bắt nguồn từ các nguồn khác hoặc được biên soạn từ hồ sơ công khai, thay vì bị rò rỉ từ NPD. Ngay cả các nguồn đáng tin cậy như Bleeping Computer, nơi đã xem xét các mẫu dữ liệu bị rò rỉ, cũng không thể xác nhận rằng thông tin đó đến từ NPD.

Hơn nữa, vụ vi phạm bị cáo buộc đặt ra câu hỏi về khối lượng dữ liệu được báo cáo là bị đánh cắp. Các chuyên gia đã bày tỏ sự hoài nghi về tính khả thi của việc đánh cắp 2,9 tỷ hồ sơ mà không bị phát hiện, đặc biệt là khi xét đến bản chất nhạy cảm của thông tin mà NPD xử lý.

Tương lai bất định: Chờ đợi sự thật

Cho đến nay, NPD vẫn chưa bình luận về cáo buộc vi phạm, cũng như chưa có bất kỳ tiết lộ chính thức nào cho các cơ quan quản lý tại Hoa Kỳ, Vương quốc Anh hoặc Canada. Sự thật đằng sau vụ vi phạm chỉ có thể được đưa ra ánh sáng nếu tòa án yêu cầu NPD phản hồi chính thức.

Trong khi đó, các cáo buộc đã gây ra mối quan tâm và suy đoán rộng rãi. Liệu những tuyên bố này có được chứng minh là sai hay không vẫn còn phải chờ xem, nhưng tình hình này đóng vai trò như một lời nhắc nhở về những rủi ro tiềm ẩn liên quan đến vi phạm dữ liệu trong thời đại kỹ thuật số ngày nay.

Trong khi chúng ta chờ đợi thêm thông tin, điều quan trọng là phải tiếp cận tình hình một cách thận trọng. Mặc dù không thể loại trừ khả năng vi phạm tại NPD, nhưng việc thiếu bằng chứng cụ thể có nghĩa là sự thật có thể phức tạp hơn những gì các tiêu đề đưa ra.