طبق ادعای یکی از شکایات قضایی، اطلاعات شخصی حدود ۳ میلیارد نفر در حملهی سایبری گستردهای سرقت شده است. این اتفاقی بسیار مهم در حوزهی امنیت اطلاعات محسوب میشود.
بهگزارش تکناک، شرکتی به نام جریکو پیکچرز که با نام تجاری «دادههای عمومی ملی» فعالیت میکند، در شکایتی جمعی اعلام کرده است که اطلاعات شخصی تقریباً ۳ میلیارد نفر در ماه آوریل افشا شده است.
بلومبرگ مینویسد طبق شکایتی که روز پنجشنبه در دادگاه منطقهی جنوبی فلوریدا ثبت شد، گروهی سایبری به نام USDoD در ۸ آوریل ۲۰۲۴ پایگاه دادهای با عنوان «دادههای عمومی ملی» را در یکی از انجمنهای دارکوب منتشر و ادعا کرد که حاوی اطلاعات شخصی ۲/۹ میلیارد نفر است. این گروه پایگاه داده یادشده را برای فروش به قیمت ۳/۵ میلیون دلار عرضه کرده است.
اگر چنین موضوعی تأیید شود، این نقض داده میتواند ازنظر تعداد افراد آسیبدیده یکی از نقضهای بزرگ تاریخ باشد. در سال ۲۰۱۳ نیز نقض داده در یاهو، به افشای اطلاعات حدود ۳ میلیارد نفر منجر شد.
طبق این شکایت، مشخص نیست که نقض داده دقیقاً چه زمانی و چگونه رخ داده است و ارائهدهندهی خدمات تا زمان ثبت شکایت هشداری به افراد آسیبدیده نداده است. شرکت دادههای عمومی ملی برای انجام فعالیتهای تجاریاش اطلاعات شناسایی شخصی میلیاردها نفر را از منابع غیرعمومی جمعآوری میکند. این یعنی افراد شاکی آگاهانه اطلاعاتشان را به این شرکت ارائه ندادهاند.
براساس شکایت یادشده، برخی از اطلاعات افشاشده شامل شمارههای تأمین اجتماعی، آدرسهای فعلی و گذشته تا چند دهه قبل، نام کامل و اطلاعات مربوط به اقوام ازجمله برخی از افراد فوتشده تا تقریباً بیست سال پیش است.
شرکت دادههای عمومی ملی به درخواست رسانههای برای اظهارنظر بلافاصله پاسخ نداد. کریستوفر هافمن، شاکی اصلی و ساکن کالیفرنیا، گفت که در ۲۴ جولای از ارائهدهندهی خدمات محافظت از سرقت هویت خود اطلاعیهای دریافت کرده است که حاکی از افشای اطلاعات شخصیاش در نقض داده و نشت آن در دارکوب بود. او شرکت دادههای عمومی ملی را به سهلانگاری و کسب درآمد ناعادلانه و نقض وظیفهی امانتداری و قرارداد ذینفع ثالث متهم کرد.
هافمن از دادگاه درخواست کرد تا شرکت دادههای عمومی ملی را به پاککردن اطلاعات شخصی همهی افراد آسیبدیده و رمزگذاری تمام دادههای جمعآوریشده در آینده ملزم کند. علاوهبر جبران خسارت مالی، او خواستار درنظرگرفتن برخی الزامات ازجمله تقسیمبندی دادهها، اسکن پایگاه داده، اجرای برنامهی مدیریت تهدید و تعیین ارزیاب شخص ثالث برای انجام ارزیابی سالانهی چهارچوبهای امنیت سایبری بهمدت ۱۰ سال شد.
