Ekstremalny wyciek danych może dotknąć ponad 2 miliardy osób
6 sierpnia 2024 roku wyciekł jeden z największych zbiorów danych osobowych w historii jaki kiedykolwiek wyciekł trafił na ciemne forum internetowe o nazwie Breachforums, z którego każdy mógł bezpłatnie pobrać i korzystać. W pliku, który został opublikowany przez użytkownika o pseudonimie Fenice, znajdowało się około 2,7 miliarda rekordów. Rekordy składają się z kluczowych fragmentów danych osobowych, takich jak między innymi adresy, daty urodzenia i numery ubezpieczenia społecznego. Naruszenie podobno dotyczy osób w Stanach Zjednoczonych, Wielkiej Brytanii i Kanadzie.
Zestaw danych został pierwotnie wystawiony na sprzedaż w kwietniu 2024 r. przez użytkownika USDoD, konto z domniemanymi powiązaniami z cyberprzestępczością cyberprzestępczością. Post reklamował dane na sprzedaż za 3,5 miliona dolarów, ale początkowo nie wzbudził żadnego zainteresowania. Wkrótce użytkownicy zaczęli publikować fragmenty zestawu danych za darmo, co doprowadziło do wycieku całego pliku przez Fenice. Wraz z plikiem Fenice twierdził, że USDoD nie był w rzeczywistości odpowiedzialny za pierwotne naruszenie i że zostało ono popełnione przez innego użytkownika, SXUL.
Plik opublikowany przez Fenice rzekomo waży ponad 250 terabajtów i jest w popularnym formacie, który można otworzyć w Microsoft Excel, Arkuszach Google lub innym porównywalnym oprogramowaniu. Uważa się, że plik zawiera informacje o dużej części populacji każdego z trzech wymienionych krajów. Biorąc pod uwagę, że może istnieć wiele rekordów dla każdej dotkniętej osoby, a niektóre osoby, które zostały dotknięte, już potwierdziły, że niektóre informacje są niedokładne, trudno jest dokładnie określić, ile osób mogło zostać dotkniętych.
Dane zostały zebrane przez firmę znaną jako National Public Data lub NPD. Model biznesowy firmy polega podobno na skrobaniu publicznych źródeł danych i łączeniu wyników. Pozew został złożony przeciwko firmie przez mężczyznę z Florydy i jest rozpatrywany jako pozew zbiorowy przez dwie różne kancelarie prawne z Florydy i Kalifornii.
W pozwie zarzuca się, że firma NPD przyjęła na siebie obowiązek ochrony danych osobowych w momencie ich pozyskiwania i kompilowania, i nie wywiązała się z tego obowiązku. Zarzuca się również, że firma korzystała z niepublicznych źródeł, co doprowadziło do tego, że była w posiadaniu danych osób, które nie wyraziły zgody na ich gromadzenie. Zarzuty przeciwko NPD obejmują zaniedbanie, bezpodstawne wzbogacenie i naruszenie obowiązku powierniczego.