Нарушение данных в экстремальных ситуациях может затронуть более 2 миллиардов человек

6 августа 2024 года один из самых больших наборов персональных данных за всю историю утечек попал на темный веб-форум под названием Breachforums, и его мог скачать и использовать любой желающий. В файле, размещенном пользователем под ником Fenice, содержалось около 2,7 миллиарда записей. Записи состоят из ключевых бит личной информации, таких как адреса, даты рождения и номера социального страхования, среди прочего. Как сообщается, нарушение затронуло людей в США, Великобритании и Канаде.

Изначально набор данных был выставлен на продажу в апреле 2024 года пользователем USDoD - аккаунтом, предположительно связанным с киберпреступной преступной группировкой. В сообщении предлагалась цена в 3,5 миллиона долларов, но поначалу это не вызвало никакого интереса. Вскоре пользователи начали выкладывать кусочки набора данных бесплатно, что привело к тому, что Фенис выложил весь файл. Вместе с файлом Фенис утверждал, что USDoD на самом деле не был ответственен за первоначальный взлом, и что его совершил другой пользователь, SXUL.

Файл, выложенный Фенисом, предположительно весит более 250 терабайт и имеет обычный формат, который можно открыть в Microsoft Excel, Google Sheets или другом аналогичном программном обеспечении. Предполагается, что в файле содержится информация о значительной части населения каждой из трех названных стран. Учитывая, что на каждого пострадавшего может существовать несколько записей, а некоторые пострадавшие уже подтвердили, что часть информации неточна, трудно точно определить, сколько людей могло пострадать.

Данные были собраны компанией, известной как National Public Data, или NPD. Как сообщается, бизнес-модель этой компании состоит не более чем в том, чтобы собирать данные из открытых источников и собирать их воедино. Иск против компании был подан человеком из Флориды, и в настоящее время он рассматривается как коллективный иск двумя разными адвокатскими конторами из Флориды и Калифорнии.

В иске утверждается, что компания NPD взяла на себя обязанность защищать персональные данные, когда приобретала и составляла их, и не выполнила эту обязанность. В иске также утверждается, что компания использовала непубличные источники, что привело к тому, что у них оказались данные о людях, которые не давали согласия на их сбор. Обвинения против NPD включают в себя халатность, неосновательное обогащение и нарушение фидуциарного долга.