إن اختراقات البيانات تشكل آفة لا نهاية لها على ما يبدو ولا توجد إجابة بسيطة لها، ولكن الاختراق الذي حدث في الأشهر الأخيرة لخدمة التحقق من الخلفية الوطنية للبيانات العامة يوضح مدى خطورتها واستعصاء حلها. وبعد أربعة أشهر من الغموض، بدأ الموقف الآن فقط في الظهور بوضوح مع اعتراف شركة البيانات العامة الوطنية بالاختراق يوم الاثنين في الوقت الذي تسربت فيه مجموعة كبيرة من البيانات المسروقة علنًا عبر الإنترنت.
في أبريل/نيسان، بدأ أحد القراصنة المعروفين ببيع المعلومات المسروقة، والمعروف باسم USDoD، في بيع مجموعة كبيرة من البيانات على منتديات المجرمين الإلكترونيين مقابل 3.5 مليون دولار، وقالوا إنها تضمنت 2.9 مليار سجل وأثرت على “سكان الولايات المتحدة الأمريكية وكندا والمملكة المتحدة بالكامل”. ومع مرور الأسابيع، بدأت عينات من البيانات في الظهور بينما عمل ممثلون آخرون وباحثون شرعيون على فهم مصدرها والتحقق من صحة المعلومات. وبحلول أوائل يونيو/حزيران، أصبح من الواضح أن بعض البيانات على الأقل كانت شرعية وتحتوي على معلومات مثل الأسماء ورسائل البريد الإلكتروني والعناوين الفعلية في مجموعات مختلفة.
لا تكون البيانات دقيقة دائمًا، ولكن يبدو أنها تتضمن مجموعتين من المعلومات. المجموعة الأولى تتضمن أكثر من 100 مليون عنوان بريد إلكتروني شرعي إلى جانب معلومات أخرى، والأخرى تتضمن أرقام الضمان الاجتماعي ولكن لا تتضمن عناوين البريد الإلكتروني.
وكتبت شركة National Public Data يوم الاثنين: “يبدو أن هناك حادثة تتعلق بأمن البيانات ربما شملت بعض معلوماتك الشخصية”. “يُعتقد أن الحادثة شملت جهة خارجية سيئة كانت تحاول اختراق البيانات في أواخر ديسمبر 2023، مع احتمال حدوث تسريبات لبيانات معينة في أبريل 2024 وصيف 2024 … المعلومات التي يُشتبه في تعرضها للاختراق تحتوي على الاسم وعنوان البريد الإلكتروني ورقم الهاتف ورقم الضمان الاجتماعي وعناوين البريد”.
وتقول الشركة إنها تتعاون مع “جهات إنفاذ القانون والمحققين الحكوميين”. وتواجه شركة NPD دعاوى قضائية جماعية محتملة بسبب هذا الاختراق.
يقول الباحث الأمني جيرميا فاولر، الذي يتابع الموقف من خلال مؤسسة البيانات العامة الوطنية: “لقد أصبحنا غير مبالين بالتسريبات التي لا تنتهي للبيانات الشخصية، ولكنني أعتقد أن هناك خطرًا جسيمًا. قد لا يكون ذلك فوريًا، وقد يستغرق الأمر سنوات حتى يتمكن أحد الجهات الإجرامية العديدة من اكتشاف كيفية استخدام هذه المعلومات بنجاح، ولكن النتيجة النهائية هي أن العاصفة قادمة”.
عندما تُسرق المعلومات من مصدر واحد، مثل سرقة بيانات عملاء Target من Target، يكون من السهل نسبيًا تحديد هذا المصدر. ولكن عندما تُسرق المعلومات من وسيط بيانات ولا تتقدم الشركة بشكوى بشأن الحادث، يصبح تحديد ما إذا كانت المعلومات شرعية ومن أين جاءت أكثر تعقيدًا. عادةً، لا يدرك الأشخاص الذين تُخترق بياناتهم في خرق ما ــ الضحايا الحقيقيون ــ أن شركة National Public Data تحتفظ بمعلوماتهم في المقام الأول.
في منشور على إحدى المدونات يوم الأربعاء حول محتويات ومصدر كنز البيانات العامة الوطنية، كتب الباحث الأمني تروي هانت، “الأطراف الوحيدة التي تعرف الحقيقة هي الجهات الفاعلة المهددة المجهولة التي تنشر البيانات ومجمع البيانات … لقد تركنا مع 134 مليون عنوان بريد إلكتروني في التداول العام ولا يوجد أصل واضح أو مساءلة “.