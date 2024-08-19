2024 年 4 月 8 日前后，一起 National Public Data 的数据泄露事件导致 29 亿人的数据被发布至暗网。然而，许多受害者仍未察觉自己的信息已遭泄露，因为他们尚未收到该机构的通知或声明。
最近，一名受害者收到身份盗用保护服务提供商的通知，得知自己的数据遭泄露后，提起了集体诉讼。对于那些数据被悄悄在暗网上售卖的人而言，这意味着什么？
National Public Data 由 Jerico Pictures, Inc. 所有，是一家总部位于佛罗里达州的背景调查企业，核心业务为数据收集。National Public Data 数据库中的消费者并未同意向该企业提供个人数据。
根据 Christopher Hofmann 提起的诉讼，一个名为 USDoD 的网络犯罪组织已在暗网上发布数据库，其中包含 29 亿美国公民的个人数据，涵盖全名、社会保障号码及住址。这些数据还涵盖了相关人员的亲属信息。这些数据的独特之处在于时间跨度极长：住址信息覆盖了数十年的居住记录，部分亲属已离世长达二十年。
该黑客组织将这个数据库标价 350 万美元进行出售。专注于网络安全的教育网站 VX-Underground 在收到该黑客组织的数据库泄露意图告知后，核实了这个 277.1GB 数据库中的信息真实准确。由于 National Public Data 不受 CIRCIA 关键基础设施相关要求的约束，因此无需在 72 小时内上报此次数据泄露事件。
“由于被告存在疏忽及/或粗心的作为与不作为，且完全未能保护客户的敏感数据，这些未加密、未脱敏的个人可识别信息 (PII) 已遭泄露、公开，随后被售至暗网。黑客锁定并获取了原告及集体诉讼成员的 PII，正是因为这些信息在身份盗用场景中具备利用价值。此次数据泄露的受害者所面临的风险，不仅存在于当下，还将伴随他们的一生,”诉讼指出。
除了未向受害者发出通知外，National Public Data 也未就此次数据泄露发布公开声明。据《洛杉矶时报》报道，该企业回复邮件问询时表示：“我们已知晓部分第三方关于消费者数据的相关说法，目前正对此展开调查。”诉讼中提及，未及时通知是原告最核心的关切点。
在诉讼中，Hofmann 要求 National Public Data 采取具体措施，包括提供经济赔偿。他要求 National Public Data 删除所有已泄露的 PII。此外，他还要求该企业此后对所有数据进行加密，采用数据分片技术，扫描数据库并启动威胁管理方案。他要求该企业在 2034 年前，每年开展一次网络安全框架评估。
尽管具体细节仍在持续更新，但此次数据泄露事件似乎是有史以来规模最大（或之一）的一次。2013 年 Yahoo 数据泄露事件涉及 30 亿账户，而此次 National Public Data 泄露涉及 29 亿人；待此次事件尘埃落定后，Yahoo 或许仍能保有“最大泄露事件”的纪录。此次泄露事件被纳入纪录后，此前的第二、第三大泄露事件将退至第三、第四位。2017 年 River City Media 数据泄露涉及 13.7 亿条记录，2018 年 Aadhaar 数据泄露涉及 11 亿条记录。
专家们在预测此次事件的结果时，不少人会参考过往案例进行对比。在针对 Yahoo 的类似诉讼中，美国地区法官 Lucy Koh 于 2019 年驳回了 Yahoo 的和解方案——该方案拟向 2 亿受影响用户（涉及近 10 亿账户）支付赔偿。Koh 驳回该和解方案的理由包括：
消费者应持续关注事态进展，确认自己的数据是否在此次泄露范围内。作为预防措施，个人应密切监控自己的信用报告与银行账户，切勿回应来路不明的信息或账户相关请求。
“如果此次泄露的确实是我们所有人的完整档案，那它无疑比以往任何数据泄露事件都更令人忧心，”美国公共信息研究组织的消费者监督主任 Teresa Murray 在接受《洛杉矶时报》采访时表示。“如果人们此前没有采取应有的预防措施，那么此次事件无疑是一记重磅警钟。”
