據稱 29 億筆記錄的資料外洩引發媒體歇斯底里和針對國家公共資料的法律行動

最近有關著名背景調查服務機構國家公共資料 (NPD) 發生大規模資料外洩的傳言已引起媒體關注並引發多起訴訟。儘管受到廣泛關注，但所謂的違規行為背後的真相仍然籠罩在不確定性之中，幾乎沒有具體證據來證實這些說法。

一則推文引發軒然大波

關於潛在洩漏的第一波傳聞出現於2024 年4 月8 日，當時一位名為HackManac 的用戶在X（以前稱為Twitter）上發布了有關據稱從NPD 資料庫中洩露的驚人29 億筆記錄的消息。根據該帖子，這些數據包括美國、加拿大和英國公民的記錄，被稱為 USDoD 的威脅行為者以 350 萬美元的價格出售。儘管這一說法很嚴重，但主流媒體基本上忽略了這篇帖子，NPD 也沒有回應。

繼這篇最初的貼文之後，2024 年 6 月 2 日，知名網路安全社群 vx-underground 又發布了另一篇文章。他們聲稱已經審查了數據樣本並確認了其真實性。媒體和國家民主黨再次保持沉默。

集體訴訟開始時的法律後果

2024 年 8 月 1 日，情況發生了戲劇性的轉變，克里斯托弗·霍夫曼 (Christopher Hofmann) 對 NPD 提起集體訴訟。霍夫曼援引其身分盜竊保護服務的通知，聲稱他的個人識別資訊 (PII) 在此次洩露中遭到洩露。該訴訟以及據稱受害者提起的其他三起訴訟尚未提供具體證據，將洩露的數據直接與 NPD 聯繫起來。

霍夫曼訴訟以 vx-underground 帖子作為主要證據，充滿了不一致之處。例如，它最初將這次洩漏歸咎於美國國防部，但後來的更正表明，可能是另一個名為 SXUL 的威脅行為者造成的。此外，該訴訟將記錄數量從 29 億個誇大到“數十億人”，這一數字遠遠超過美國、加拿大和英國的人口總和。

可能的釣魚探險嗎？

專家表示，該訴訟可能不是為了證明 NPD 有罪，而是為了迫使該公司提供證明其無罪的證據。在美國，法院可以要求被告披露可能證明或反駁針對他們的指控的資訊。這種通常被稱為「釣魚探險」的策略可能是霍夫曼法律團隊的主要目標。

ImmuniWeb 執行長兼法律專家 Ilia Kolochenko 指出，這種策略在美國比在歐洲更常見，在歐洲，舉證責任通常由原告承擔。如果法院強迫 NPD 披露有關涉嫌違規的信息，可能會給該公司帶來重大後果。

更大的圖景和我們目前所知道的

儘管採取了法律行動和媒體報道，但仍然沒有明確的證據表明 NPD 遭到破壞。正在傳播的資料可能來自其他來源或從公共記錄中彙編而來，而不是從 NPD 竊取的。即使是 Bleeping Computer 等信譽良好的消息來源（審查了洩漏資料的樣本）也無法確認該資訊是否來自 NPD。

此外，所謂的洩漏事件引發了人們對據報道被盜的大量資料的質疑。專家們對在不被發現的情況下竊取 29 億筆記錄的可行性表示懷疑，特別是考慮到 NPD 處理的資訊的敏感性。

不確定的未來：等待真相

截至目前，NPD 尚未對涉嫌違規行為發表評論，也未向美國、英國或加拿大的監管機構進行任何正式披露。只有法院要求 NPD 做出正式回應，違規行為背後的真相才可能真相大白。

同時，這些指控引發了廣泛的關注和猜測。這些說法是否會得到證實或被證明是錯誤的還有待觀察，但這種情況提醒我們當今數位時代與資料外洩相關的潛在風險。

當我們等待更多資訊時，謹慎對待這一情況至關重要。雖然不能排除 NPD 違規的可能性，但缺乏具體證據意味著真相可能比頭條新聞所暗示的更為複雜。