涉嫌泄露 29 亿条记录引发媒体恐慌，并引发针对国家公共数据的法律诉讼

最近，有关著名背景调查服务公司 National Public Data (NPD) 大规模数据泄露的传闻引起媒体热议，并引发多起诉讼。尽管受到广泛关注，但所谓泄露事件背后的真相仍不明朗，几乎没有确凿的证据来证实这些说法。

一条引发轩然大波的推文

2024 年 4 月 8 日，一名名为 HackManac 的用户在 X（以前的 Twitter）上发布了一篇帖子，称 NPD 数据库中有 29 亿条记录被窃取，这是首次出现有关潜在入侵的传闻。根据这篇帖子，一个名为 USDoD 的威胁行为者以 350 万美元的价格出售这些数据，其中包括美国、加拿大和英国公民的记录。尽管该指控十分严重，但主流媒体基本上忽略了这篇帖子，NPD 也没有做出回应。

这篇初始帖子之后，2024 年 6 月 2 日，著名网络安全社区 vx-underground 又发了一篇帖子。他们声称已经审查了数据样本并确认了其真实性。然而，媒体和 NPD 再次保持沉默。

集体诉讼开始带来的法律后果

2024 年 8 月 1 日，克里斯托弗·霍夫曼 (Christopher Hofmann) 对 NPD 提起集体诉讼，情况发生了戏剧性转变。霍夫曼声称，他的个人身份信息 (PII) 在此次入侵中遭到泄露，并引用了其身份盗窃保护服务的通知。这起诉讼以及所谓受害者提起的另外三起诉讼尚未提供确凿证据，证明被窃取的数据与 NPD 直接相关。

霍夫曼的诉讼以 vx-underground 的帖子作为主要证据，但其中却充满了矛盾。例如，它最初将此次入侵归咎于美国国防部，但后来的更正表明，另一个名为 SXUL 的威胁者可能应对此负责。此外，该诉讼将记录数量从 29 亿夸大为“数十亿个人”，这一数字远远超过了美国、加拿大和英国的人口总和。

可能的钓鱼之旅？

专家表示，这起诉讼可能不是为了证明 NPD 的罪责，而是为了迫使该公司提供无罪证据。在美国，法院可以要求被告披露可能证明或反驳针对他们的指控的信息。这种策略通常被称为“钓鱼式调查”，可能是霍夫曼法律团队的主要目标。

ImmuniWeb 首席执行官兼法律专家 Ilia Kolochenko 指出，此类策略在美国比在欧洲更为常见，在欧洲，举证责任通常由原告承担。如果法院强迫 NPD 披露有关涉嫌违规的信息，这可能会给该公司带来严重后果。

总体情况和我们目前所知

尽管有法律诉讼和媒体的狂热报道，但仍然没有确凿的证据证明 NPD 遭到了入侵。流传的数据可能来自其他来源或从公共记录中汇编而来，而不是从 NPD 中窃取而来。即使是像 Bleeping Computer 这样审查过泄露数据样本的知名来源，也无法证实这些信息来自 NPD。

此外，此次涉嫌泄密事件也引发了人们对被盗数据数量的质疑。专家们对在不被发现的情况下泄露 29 亿条记录的可行性表示怀疑，尤其是考虑到 NPD 处理的信息的敏感性。

不确定的未来：等待真相

截至目前，NPD 尚未对此次涉嫌泄密事件发表评论，也没有向美国、英国或加拿大的监管机构正式披露此事。只有法院要求 NPD 正式回应，泄密事件背后的真相才有可能大白于天下。

与此同时，这些指控引发了广泛的担忧和猜测。这些指控是否会得到证实或被证明是虚假的还有待观察，但这种情况提醒人们，在当今数字时代，数据泄露可能带来风险。

在等待更多信息的同时，谨慎对待这一情况至关重要。虽然不能排除 NPD 被入侵的可能性，但缺乏确凿的证据意味着事实可能比新闻标题所暗示的更为复杂。