سر خرق بيانات وسيط البيانات المزعوم

منذ شهر أبريل، ادعى أحد المتسللين الذين لديهم تاريخ في بيع البيانات المسروقة، خرق بيانات مليارات السجلات – مما أثر على ما لا يقل عن 300 مليون شخص – من وسيط بيانات أمريكي، مما يجعله واحدًا من أكبر خروقات البيانات المزعومة لهذا العام.

تبدو البيانات، التي اطلعت عليها TechCrunch، في حد ذاتها شرعية جزئيًا – إذا كانت غير كاملة. يُزعم أن البيانات المسروقة، التي تم الإعلان عنها في منتدى معروف للجرائم الإلكترونية، تعود إلى سنوات مضت وتتضمن الأسماء الكاملة للمواطنين الأمريكيين، وتاريخ عناوين منازلهم، وأرقام الضمان الاجتماعي – وهي بيانات متاحة على نطاق واسع للبيع من قبل وسطاء البيانات.

لكن تأكيد مصدر سرقة البيانات المزعومة ثبت أنه غير حاسم، وهذه هي طبيعة صناعة وسطاء البيانات، التي تلتهم البيانات الشخصية للأفراد من مصادر متباينة مع القليل من مراقبة الجودة أو عدم وجودها على الإطلاق.

وسيط البيانات المزعوم المعني، وفقًا للهاكر، هو شركة National Public Data، التي تصف نفسها بأنها “واحدة من أكبر مزودي السجلات العامة على الإنترنت”.

على موقعها الرسمي على الإنترنت، زعمت شركة National Public Data أنها تبيع إمكانية الوصول إلى العديد من قواعد البيانات: قاعدة “الباحث عن الأشخاص” حيث يمكن للعملاء البحث حسب رقم الضمان الاجتماعي، أو الاسم وتاريخ الميلاد، أو العنوان، أو رقم الهاتف؛ قاعدة بيانات لبيانات المستهلك الأمريكي “تغطي أكثر من 250 مليون فرد”؛ قاعدة بيانات تحتوي على بيانات تسجيل الناخبين التي تحتوي على معلومات عن 100 مليون مواطن أمريكي؛ يسجل الجنائي واحدًا والعديد من الآخرين.

قالت مجموعة أبحاث البرامج الضارة vx-underground على موقع X (تويتر سابقًا) إنها راجعت قاعدة البيانات المسروقة بأكملها ويمكنها “التأكد من أن البيانات الموجودة فيها حقيقية ودقيقة”.

وكتبت المجموعة: “لقد بحثنا عن العديد من الأفراد الذين وافقوا على البحث عن معلوماتهم”، مضيفة أنهم تمكنوا من العثور على معلومات هؤلاء الأشخاص، بما في ذلك الأسماء، وتاريخ العناوين الذي يعود إلى أكثر من ثلاثة عقود، وأرقام الضمان الاجتماعي.

“لقد سمح لنا أيضًا بالعثور على والديهم وأقرب إخوتهم. تمكنا من التعرف على شخص ما [sic] الآباء والأقارب المتوفين والأعمام والعمات وأبناء العمومة.

بذلت TechCrunch جهودًا مماثلة للتحقق من صحة البيانات، وكانت النتائج مختلطة.

في مراجعتنا لعينة أصغر مكونة من خمسة ملايين سجل، وجدنا مجموعة كبيرة من الأسماء والعناوين التي تتطابق مع السجلات العامة المقابلة، ولكن أيضًا بعض البيانات التي لا تكون منطقية دائمًا – مثل عناوين البريد الإلكتروني بأسماء مختلفة ليس لها أي تأثير واضح على بقية بيانات الفرد المرتبطة. وتضمنت بعض السجلات معلومات مزعومة عن شخصيات بارزة معروفة، بما في ذلك البيانات الشخصية لرئيس أمريكي سابق.

قامت TechCrunch بتزويد USDoD، المتسلل الذي يبيع البيانات، بأسماء ثمانية أشخاص أعطوا موافقتهم، في محاولة للتحقق من أن المتسلل لديه بالفعل بيانات مشروعة. ولم يُرجع المتسلل أي بيانات للأشخاص الثمانية.

تواصلت TechCrunch أيضًا مع مائة شخص كانت أرقامهم وعناوين بريدهم الإلكتروني في العينة. استجاب شخص واحد فقط، وأكد أن جزءًا من بياناته المزعومة المسروقة كان دقيقًا، ولكن ليس كلها.

الذهاب مباشرة إلى المصدر المزعوم لسرقة البيانات لم يجيب كثيرًا أيضًا.

على الرغم من المحاولات العديدة للاتصال بالشركة، لم تستجب شركة National Public Data، وكذلك مؤسسها ومديرها التنفيذي سلفاتوري فيريني. بعد أن تواصلت TechCrunch لأول مرة مع National Public Data الأسبوع الماضي، قامت الشركة بإزالة صفحات موقعها الإلكتروني التي تضمنت تفاصيل حول قواعد البيانات التي تبيع الوصول إليها.

لا يتبين أن جميع خروقات البيانات التي يطالب بها المتسللون، وخاصة تلك التي يتم الإعلان عنها في منتديات القرصنة، حقيقية. لهذا السبب، غالبًا ما يقضي موقع TechCrunch وغيره من مراسلي الأمن السيبراني قدرًا كبيرًا من الوقت في محاولة التحقق من خرق البيانات، وهي جهود تنتهي أحيانًا بنتائج غير حاسمة.

ولكن يبدو أن هذا الانتهاك المزعوم لوسيط البيانات أمر غريب، ويرجع ذلك جزئيًا إلى أن بعض البيانات تبدو حقيقية وبعضها تم التحقق منه بالفعل.

كما أن انتشار البيانات الشخصية وتسويقها عبر صناعة وسطاء البيانات يزيد من صعوبة تحديد مصدر تسرب البيانات. وحتى إذا ظل خرق البيانات هذا دون حل، فإنه يظهر مرة أخرى أن صناعة وسطاء البيانات خارجة عن السيطرة وتطرح مشكلات خصوصية حقيقية للأشخاص العاديين.

لم نتمكن من حل لغز خرق البيانات بشكل نهائي، ولكن كان هناك ما يكفي لتوضيح جهود التحقق التي قمنا بها. هناك شيء واحد واضح. وطالما أن وسطاء البيانات يجمعون المعلومات الشخصية، يظل هناك خطر من خروج البيانات.