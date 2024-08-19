تم نشر بيانات المليارات من الأشخاص على الشبكة الخفية في 8 أبريل 2024 تقريبًا - من اختراق واحد للبيانات العامة الوطنية. ومع ذلك، لا يزال العديد من الضحايا غير مدركين لتعرضهم للخطر لأنهم لم يتلقوا إشعارًا أو بيانًا من الشركة بعد.
مؤخرًا، قدَّم أحد المتضررين دعوى جماعية بعد اكتشاف أن بياناته قد تم تسريبها، عندما تلقى إشعارًا من مزوِّد خدمة الحماية من سرقة الهوية. ماذا سيعني هذا بالنسبة إلى الأشخاص الذين تم بيع بياناتهم دون علمهم على الشبكة الخفية؟
تجمع شركة National Public Data، المملوكة لشركة Jerico Pictures, Inc.، البيانات بصفتها شركة لفحص الخلفية، ومقرها فلوريدا. لم يوافق المستهلكون المدرجون في قواعد بيانات National Public Data على منح بياناتهم للشركة.
وفقًا للدعوى القضائية التي قدَّمها Christopher Hofmann، نشرت مجموعة إجرامية إلكترونية تُعرَف باسم USDoD قاعدة بيانات تحتوي على معلومات خاصة لنحو 2.9 مليار مواطن أمريكي، بما في ذلك الأسماء الكاملة وأرقام الضمان الاجتماعي والعناوين على الشبكة الخفية. وتضمنت البيانات أيضًا معلومات عن أقارب الأفراد. كان أحد الجوانب الفريدة للبيانات هو طول العمر - حيث امتدت العناوين على مدى عقود من الإقامة، وبعض الأقارب متوفون منذ ما يصل إلى عقدين من الزمن.
حددت مجموعة المخترقين سعر شراء قاعدة البيانات بمقدار 3.5 ملايين دولار أمريكي. أكَّد موقع VX-Underground التعليمي الذي يركِّز على الأمن الإلكتروني أن المعلومات في قاعدة البيانات بحجم 277.1 جيجابايت كانت حقيقية ودقيقة بعد أن أبلغتها المجموعة بنية تسريب قاعدة البيانات. نظرًا لأن شركة National Public Data غير ملزمة بمتطلبات CIRCIA للبنية التحتية الحساسة، لم يكن مطلوبًا من الشركة الإبلاغ عن الاختراق في غضون 72 ساعة.
هذه البيانات الشخصية غير المشفَّرة وغير المظللة تم اختراقها ونشرها ثم بيعها على الشبكة الخفية، نتيجة أفعال وإغفالات المدعى عليهم المهملة و/أو المتهورة وفشلهم التام في حماية البيانات الحساسة للعملاء. استهدف القراصنة بيانات التعريف الشخصية للمدعي وأعضاء الفئة وحصلوا عليها بسبب قيمتها في استغلال وسرقة هوياتهم. وتنصّ الدعوى على أن الخطر الحالي والمستمر على ضحايا اختراق أمن البيانات سيستمر طوال حياتهم.
بالإضافة إلى إهمالها بشأن إبلاغ الضحايا، لم تُصدر شركة National Public Data بيانًا عامًا بشأن هذا الاختراق. ذكرت صحيفة Los Angeles Times أن الشركة ردت على استفسارات البريد الإلكتروني بالقول: "نحن على علم ببعض الادعاءات الصادرة عن أطراف ثالثة حول بيانات المستهلكين ونعمل على التحقيق في هذه القضايا". وتُشير الدعوى إلى أن عدم الإخطار يمثِّل أهم مخاوف المُدعي.
في الدعوى، طلب Hofmann من شركة National Public Data اتخاذ إجراءات محددة، بما في ذلك تقديم تعويضات مالية. وطلب من شركة National Public Data مسح جميع بيانات التعريف الشخصية المخترقة. بالإضافة إلى ذلك، يريد أن تقوم الشركة بتشفير جميع البيانات مستقبلًا، واستخدام تقسيم البيانات، وفحص قواعد البيانات، وإطلاق برنامج لإدارة التهديدات. ويريد أيضًا إجراء تقييم لإطار عمل أمن الإلكتروني سنويًا حتى عام 2034.
في حين أن التفاصيل لا تزال تتطور، يبدو أن هذا الاختراق هو أكبر -أو أحد أكبر- اختراق أمن للبيانات على الإطلاق. نظرًا لأن اختراق Yahoo عام 2013 شمل 3 مليارات حساب، وأن اختراق National Public Data يبدو أنه شمل 2.9 مليار شخص، فقد تظل Yahoo محتفظة بالرقم القياسي بعد انتهاء تداعيات هذا الاختراق الأخير. سينتقل أصحاب المركزين الثاني والثالث السابقين إلى المركزين الثالث والرابع بعد أن يتم تسجيل هذا الاختراق في السجلات. شمل اختراق River City Media عام 2017 1.37 مليار سجل، بينما احتوى اختراق Aadhaar عام 2018 على 1.1 مليار سجل.
مع توقُّع الخبراء للقرار في هذه المسألة، يلجأ كثيرون إلى الأحداث السابقة لإجراء مقارنات. في دعوى مماثلة ضد Yahoo، رفضت القاضية الفيدرالية الأمريكية Lucy Koh تسوية Yahoo لدفع التعويضات في 2019 لمئتي مليون شخص متأثر من أصل نحو مليار حساب. وكان رفضها للتسوية للأسباب التالية:
يجب على المستهلكين الاستمرار في متابعة الوضع الحالي مع تطوره لمعرفة ما إذا كانت بياناتهم قد تم تسريبها. كإجراء احترازي، ينبغي على الأفراد مراقبة تقارير الائتمان وحساباتهم البنكية بعناية، وعدم الاستجابة لأي معلومات أو طلبات حسابات غير مطلوبة.
إذا كان هذا في الواقع يشكِّل تقريبًا الملف الكامل عن كل واحد منا، فهو بالتأكيد أكثر إثارة للقلق من التسريبات السابقة، وفق ما صرَّحت به Teresa Murray، مديرة مجموعة مراقبة المستهلكين في U.S. Public Information Research Group لصحيفة Los Angeles Times. وإذا لم يكن الناس يتخذون الاحتياطات في الماضي، وهو ما كان ينبغي عليهم فعله، فيجب أن يكون هذا بمثابة إنذار شديد لهم.
لمعرفة كيف يمكن لفريق IBM X-Force مساعدتك على كل ما يتعلق بالأمن الإلكتروني، بما في ذلك الاستجابة للحوادث، أو استعلامات التهديدات، أو خدمات الأمن الهجومي، حدِّد موعدًا لإجراء اجتماع من هنا.
إذا كنت تواجه مشكلات في الأمن الإلكتروني أو حادثًا متعلقًا به، فتواصَل مع X-Force للحصول على المساعدة: الخط الساخن داخل الولايات المتحدة 9812-241-888-1 | الخط الساخن العالمي 8034-212-312 (001+).