افشای اطلاعات ۲٫۹ میلیارد نفر برای فروش در دارک وب

گزارشی که از سایت بلومبرگ منتشر شده است ، خبر از سرقت اطلاعات شخصی ۲٫۹ میلیارد نفر برای فروش در دارک وب را گزارش می دهد . بر اساس یک شکایت که در فلوریدا ثبت شده ، مجرمان در دارک وب یک پایگاه داده حاوی اطلاعات ۲.۹ میلیارد نفر را منتشر کرده و آن را به قیمت ۳.۵ میلیون دلار برای فروش ارائه کرده‌اند. بسیاری از نقض‌های داده‌ ای به عنوان بزرگ ‌ترین نقض در تاریخ شناخته نمی‌شوند اما طبق گزارش بلومبرگ ، اطلاعاتی که توسط گروه سایبری USDoD در دارک وب منتشر شده، ممکن است یکی از این نقض‌ها باشد.

شرکت Jerico Pictures Inc ، که تحت نام National Public Data فعالیت می‌کند، در یک نقض داده ‌ای در ماه آوریل، اطلاعات شخصی نزدیک به ۳ میلیارد فرد را افشا کرده است.

در تاریخ ۸ آوریل، یک گروه سایبری به نام USDoD یک پایگاه داده با عنوان “National Public Data” را در یک انجمن دارک وب منتشر کرد و ادعا کرد که اطلاعات شخصی ۲.۹ میلیارد نفر را در اختیار دارد. این موضوع در شکایتی که روز پنجشنبه در دادگاه منطقه ‌ای ایالات متحده برای ناحیه جنوبی فلوریدا ثبت شده، ذکر شده است و گفته می ‌شود که این گروه پایگاه داده را به قیمت ۳.۵ میلیون دلار برای فروش گذاشته است.

طبق این شکایت ، مشخص نیست که دقیقاً چه زمانی یا چگونه این نقض اتفاق افتاده و ارائه ‌دهنده هنوز به افراد آسیب ‌دیده هیچ اطلاع‌ رسانی یا هشداری نداده است.

برخی از اطلاعات افشا شده شامل شماره‌های تأمین اجتماعی، آدرس‌های فعلی و قبلی که به مدت چند دهه ادامه دارد، نام‌های کامل، اطلاعات درباره بستگان (از جمله برخی که نزدیک به دو دهه پیش فوت کرده‌اند) و موارد دیگر است.

National Public Data به درخواست برای اظهار نظر پاسخ نداد. فردی به نام کریستوفر هوفمن (شاکی پرونده) که ساکن کالیفرنیا است ، گفت که در تاریخ ۲۴ ژوئیه از سوی خدمات حفاظت از امنیت هویت خود اطلاعیه ‌ای دریافت کرده که به او اعلام کرده داده‌هایش در یک نقض افشا شده و در دارک وب منتشر شده است. او National Public Data را متهم به بی‌احتیاطی، ثروت ‌اندوزی ناعادلانه و نقض وظایف خود کرد.

مشکل دیگری که این شکایت به آن اشاره دارد این است که National Public Data به طور غیرقانونی اطلاعات افراد را از منابع غیر عمومی جمع ‌آوری کرده و هیچ‌ گاه به آن‌ها اطلاع نداده که ممکن است داده‌هایشان در خطر باشد.

هوفمن از دادگاه خواسته تا National Public Data ملزم به حذف اطلاعات شخصی تمام افراد آسیب ‌دیده شود و تمامی داده ‌های جمع ‌آوری‌شده را رمزگذاری کند. علاوه بر جبران مالی، او همچنین خواستار مجموعه‌ای از الزامات شد، از جمله اینکه National Public Data داده‌ها را بخش ‌بندی کند، اسکن پایگاه داده انجام دهد، برنامه مدیریت تهدیدات را پیاده ‌سازی کند و یک ارزیاب مستقل برای ارزیابی چهارچوب‌های امنیت سایبری خود هر سال به مدت ۱۰ سال منصوب کند.
شکایت می‌گوید: “در تاریخ حدود ۸ آوریل ۲۰۲۴، یک باند جنایی به نام USDoD پایگاه داده‌ای تحت عنوان ‘National Public Data’ را در انجمن هکرهای دارک وب به نام ‘Breached’ منتشر کرد. USDoD ادعا کرده که اطلاعات شناسایی شخصی حدود ۲.۹ میلیارد فرد را در اختیار دارد و این پایگاه داده را به قیمت ۳.۵ میلیون دلار برای فروش ارائه کرده است.”

شاکی از دادگاه خواسته است که شرکت را ملزم کند تا اطلاعات افراد آسیب‌دیده را حذف کند و اقداماتی برای افزایش امنیت در آینده انجام دهد، همچنین اقدام به جبران خسارت های مالی افراد کند .

منبع : سایت bloomberglaw