Duomenų pažeidimai yra iš pažiūros begalinė rykštė, į kurią nėra aiškaus atsakymo, tačiau pastarųjų mėnesių fono patikros paslaugos „Nacionaliniai viešieji duomenys“ pažeidimas parodo, kokie pavojingi ir sunkiai įveikiami jie tapo. Ir po keturis mėnesius trukusios dviprasmybės situacija tik dabar pradeda ryškėti, kai Nacionaliniai viešieji duomenys pirmadienį pagaliau pripažino pažeidimą, kai internete viešai nutekėjo pavogtų duomenų.
Balandį įsilaužėlis, žinomas dėl vogtos informacijos pardavimo, žinomas kaip USDoD, už 3,5 milijono dolerių pradėjo rinkti duomenų iš kibernetinių nusikaltėlių forumų, kurie, jų teigimu, apėmė 2,9 milijardo įrašų ir paveikė „visus JAV, Kalifornijos ir JK gyventojus“. Bėgant savaitėms, pradėjo dygti duomenų pavyzdžiai, nes kiti veikėjai ir teisėti tyrinėtojai stengėsi suprasti jų šaltinį ir patvirtinti informaciją. Birželio pradžioje buvo aišku, kad bent dalis duomenų buvo teisėti ir juose buvo įvairių derinių, pvz., vardai, el. pašto adresai ir fiziniai adresai.
Duomenys ne visada tikslūs, bet atrodo, kad jie apima du informacijos kiekius. Vienas, kuriame yra daugiau nei 100 milijonų teisėtų el. pašto adresų ir kita informacija, o antrasis – socialinio draudimo numeriai, bet ne el. pašto adresai.
„Panašu, kad įvyko duomenų saugumo incidentas, dėl kurio galėjo būti susijusi tam tikra jūsų asmeninė informacija“, – pirmadienį rašė „National Public Data“. „Manoma, kad incidentas susijęs su trečiosios šalies blogu veikėju, kuris 2023 m. gruodžio pabaigoje bandė įsilaužti į duomenis, o 2024 m. balandžio mėn. ir 2024 m. vasarą gali būti nutekėję tam tikri duomenys… Informacijoje, kuri, kaip įtariama, buvo pažeista, buvo pavardė, pašto adresą, telefono numerį, socialinio draudimo numerį ir pašto adresą (-us).
Bendrovė teigia, kad bendradarbiauja su „teisėsaugos ir vyriausybiniais tyrėjais“. NPD dėl pažeidimo gresia galimi kolektyviniai ieškiniai.
„Mes nebejaučiame nesibaigiančio asmens duomenų nutekėjimo, bet sakyčiau, kad yra rimta rizika“, – sako saugumo tyrinėtojas Jeremiahas Fowleris, stebėjęs situaciją su National Public Data. „Gali būti, kad tai neįvyks iš karto, ir gali prireikti metų, kol vienas iš daugelio nusikalstamų veikėjų sėkmingai supras, kaip panaudoti šią informaciją, bet esmė ta, kad artėja audra.
Kai informacija pavagiama iš vieno šaltinio, pvz., iš Target pavagiami „Target“ klientų duomenys, tą šaltinį nustatyti gana paprasta. Tačiau kai informacija pavagiama iš duomenų brokerio, o įmonė apie incidentą nepraneša, nustatyti, ar informacija yra teisėta ir iš kur ji atkeliavo, yra daug sudėtingiau. Paprastai žmonės, kurių duomenys buvo pažeisti pažeidimo metu – tikrosios aukos – net nežino, kad Nacionaliniai viešieji duomenys pirmiausia saugojo jų informaciją.
Trečiadienio dienoraščio įraše apie Nacionalinių viešųjų duomenų telkinio turinį ir kilmę saugumo tyrinėtojas Troy'us Huntas rašė: „Vienintelės šalys, žinančios tiesą, yra anoniminiai grėsmės veikėjai, perduodantys duomenis, ir duomenų agregatorius… Mums liko. su 134 milijonais elektroninio pašto adresų viešoje apyvartoje ir be aiškios kilmės ar atskaitomybės.