أدى أحد أسوأ انتهاكات البيانات في التاريخ إلى ترك تفاصيل خاصة لنحو 2.9 مليار شخص، بما في ذلك أرقام الضمان الاجتماعي للأمريكيين، على شبكة الويب المظلمة.
تم مداهمة قاعدة بيانات شركة فحص الخلفية في فلوريدا ثم نشرها للبيع في 8 أبريل الماضي، وعرضت على أي مجرمي الإنترنت على استعداد لدفع 3.5 مليون دولار.
ولم تؤكد الشركة حتى الآن الاختراق بأرقامها الخاصة، ولكن إذا كان ذلك صحيحا، فإن نطاق الاختراق ينافس اختراق ياهو! القياسي في عام 2013 والذي كشف عن بيانات ثلاثة مليارات شخص في جميع أنحاء العالم.
وقد شاركت مجموعة المجرمين الإلكترونيين التي تبيع البيانات، والتي يُعتقد أنها مقرها في أمريكا اللاتينية وتحمل الاسم الساخر “USDoD”، نسبة إلى وزارة الدفاع الأمريكية، الملف مع أحد خبراء الأمن السيبراني لتأكيد شرعيتها.
من المرجح أن تكون بيانات معظم الأميركيين ــ وحتى العديد من أقاربهم المتوفين ــ معرضة للخطر بسبب الاختراق، ما لم يدفعوا بانتظام مقابل خدمات “الانسحاب”.
تسبب اختراق بيانات هو الأسوأ في التاريخ في ترك تفاصيل خاصة لنحو 2.9 مليار شخص، بما في ذلك أرقام الضمان الاجتماعي للأميركيين، على شبكة الويب المظلمة. وينافس نطاق الاختراق اختراق ياهو! القياسي في عام 2013 والذي كشف عن بيانات ثلاثة مليارات شخص.
وفقًا لدعوى قضائية جماعية مقترحة تم رفعها يوم الخميس الماضي، فشلت شركة Jerico Pictures، التي تتخذ من فلوريدا مقراً لها، والتي تعمل تحت اسم National Public Data، في “تأمين الأجهزة التي تحتوي على معلومات شخصية محمية بشكل فعال”.
تحتوي قاعدة البيانات المسروقة الضخمة هذه على عناوين تاريخية وأسماء أقارب وغير ذلك من معلومات عن مئات الملايين من المواطنين الأميركيين، بما في ذلك العديد من المتوفين منذ عقود من الزمن، بحسب ما أظهرت ملفات قضائية جديدة.
ويقوم محامو الضحية، الذي تم تنبيهه أولاً إلى الاختراق من خلال خدمة حماية سرقة الهوية الخاصة به، بمتابعة دعوى قضائية جماعية ضد شركة قاعدة البيانات.
وبحسب الدعوى المرفوعة يوم الخميس، فشلت شركة التحقق من الخلفية Jerico Pictures، التي تعمل تحت اسم National Public Data، في “تأمين الأجهزة التي تحتوي على معلومات شخصية محمية بشكل فعال”.
وتتهم الدعوى أيضًا الشركة بـ “استخراج” مليارات الملفات الخاصة بأفراد من قواعد بيانات أخرى دون “موافقة أو علم” هؤلاء الأفراد.
وزعم المحامون، بقيادة شركة كوبيلويتز أوسترو، في شكواهم الجماعية المقترحة، أن “سلوك المدعى عليه يرقى على الأقل إلى مستوى الإهمال”.
وبحسب مالكي موقع VX-Underground للأمن السيبراني وتعليم البرمجيات الخبيثة، فإن فحصًا سريعًا لملفات ثلاثة مليارات فرد الواردة في التسريب “وجد على الفور” أي فرد “لم يستخدم خدمات إلغاء الاشتراك في البيانات ويقيم في الولايات المتحدة”.
تتضمن الملفات عادةً الاسم الأول والأخير، والعنوان الحالي، وآخر ثلاثة عناوين منزلية، ورقم الضمان الاجتماعي الخاص بهم، ومجموعة من البيانات عن عائلاتهم.
وتابع كاتب الأمن السيبراني: “لقد سمح لنا أيضًا بالعثور على والديهم وأقرب أشقائهم. لقد تمكنا من تحديد هوية والدي شخص ما وأقاربه المتوفين وأعمامه وخالاته وأبناء عمومته”.
وأفادوا أن “بعض الأفراد الذين تم العثور عليهم كانوا متوفين منذ ما يقرب من عقدين من الزمن”.
ولم تكشف شركة البيانات العامة الوطنية، التي يقع مقرها في كورال سبرينجز على بعد ساعة شمال ميامي بولاية فلوريدا، حتى الآن عن متى أو كيف حدث اختراق قواعد البيانات الخاصة بها.
ولم ترد الشركة حتى الآن على طلبات التعليق التي قدمها موقع DailyMail.com.
والأسوأ من ذلك أن الشركة لم تنبه أو تصدر تحذيرات حتى الآن لمئات الملايين من الأفراد المتضررين داخل الولايات المتحدة، ولا حتى لأولئك الموجودين في الخارج والذين قد يكونون معرضين للخطر أيضًا.
التقديرات الحالية من مكتب تعداد الولايات المتحدة ويقدر عدد سكان الولايات المتحدة بنحو 336.8 مليون نسمة – أو ما يعادل 11.2 في المائة فقط من الذين تعرضوا لهذا الاختراق الضخم للبيانات.
وبعبارة أخرى، من المرجح أن يكون معظم الأميركيين، بما في ذلك العديد من أقاربهم الراحلين، ضحايا للاختراق وبالتالي مدعين محتملين في الدعوى الجماعية.
ولكن كما أشار موقع VX-Underground، الذي قام بمراجعة الملف الكامل الذي يبلغ حجمه 277.1 جيجابايت والذي حصل عليه من القراصنة، فقد قال: 'لا تحتوي قاعدة البيانات على معلومات من الأفراد الذين يستخدمون خدمات إلغاء الاشتراك في البيانات.'
وفقًا لمالكي موقع VX-Underground التعليمي للأمن السيبراني والبرامج الضارة – الذين راجعوا ملف الهاكر بالكامل الذي يبلغ حجمه 277.1 جيجابايت – فإن معظم الأمريكيين بما في ذلك العديد من أقاربهم الراحلين، هم على الأرجح ضحايا للاختراق وبالتالي مدعون محتملون في الدعوى الجماعية.
وذكرت منظمة VX-Underground في منشور على موقع التواصل الاجتماعي X في يونيو/حزيران الماضي: “لم يكن كل شخص استخدم نوعًا ما من خدمات إلغاء الاشتراك في البيانات حاضرًا”.
تتقاضى خدمات إلغاء الاشتراك في البيانات ما يصل إلى 499 دولارًا سنويًا للقيام بالمهمة الشاقة المتمثلة في مطالبة وسطاء البيانات بإزالة بياناتك الشخصية من قوائمهم.
ولكن بالنسبة لأولئك الذين يبحثون عن طريقة أكثر فعالية من حيث التكلفة، تقدم منظمة Consumer Reports غير الربحية خدمة مماثلة عبر تطبيق Permission Slip الخاص بها.
أعلنت وزارة الدفاع الأميركية، التي اكتسبت سمعة سيئة في البداية تحت اسم “NatSec”، مسؤوليتها عن موجة من عمليات الاختراق هذا العام بما في ذلك غارة على CrowdStrike، شركة الأمن السيبراني التي أدى تحديثها الخاطئ إلى توقف شركات الطيران وتسبب في حالة من الفوضى في جميع أنحاء العالم في يوليو/تموز من هذا العام.
وفي يوليو/تموز، ادعت وزارة الدفاع الأمريكية أيضًا أنها سربت “قائمة كاملة للجهات الفاعلة المهددة” من شركة CrowdStrike. و”قائمة مؤشرات الاختراق بالكامل”، وقواعد البيانات من “شركة نفط وصناعة الأدوية (ليست من الولايات المتحدة)،” وفقًا لتقرير الشركة.
أعلنت وزارة الدفاع الأمريكية، التي تبيع تسريب البيانات الجديد على شبكة الويب المظلمة، عن مسؤوليتها عن موجة من عمليات الاختراق هذا العام – بما في ذلك غارة على شركة CrowdStrike، شركة الأمن السيبراني التي أدى تحديثها الخاطئ إلى توقف شركات الطيران وتسبب في فوضى في جميع أنحاء العالم في يوليو/تموز (الصورة)
هدد الرئيس التنفيذي لشركة دلتا بمقاضاة شركة CrowdStrike بسبب ما قال إنه 500 مليون دولار من الإيرادات المفقودة والتكاليف الإضافية المتعلقة بآلاف الرحلات الجوية الملغاة في يوليو الماضي
تم تصوير وزارة الدفاع الأمريكية في الأصل على أنها مؤسسة قرصنة موالية لروسيا، ويرجع ذلك جزئيًا إلى النجاحات المبكرة التي حققتها المجموعة من خلال حملتها “#RaidAgainstTheUS”، والتي استهدفت الجيش الأمريكي وشركات الدفاع الكبرى التابعة للبنتاغون.
كما قامت مجموعة القراصنة بفحص وكالات أمريكية محلية، متظاهرين بأنهم الرئيس التنفيذي لشركة مالية لسرقة قاعدة بيانات مكتب التحقيقات الفيدرالية InfraGard التي تضم 80 ألف عضو – والتي تم تصميمها لمشاركة معلومات الأمن الوطني والأمن السيبراني بشكل آمن.
يضم أعضاء InfraGard موظفين حكوميين، بالإضافة إلى أعضاء من القطاع الخاص الذين يعتبر عملهم بالغ الأهمية للحفاظ على البنية التحتية للولايات المتحدة.
اتهم تقرير للصحفي المتخصص في الأمن السيبراني براين كريبس وزارة الدفاع الأمريكية بإصدار بيان سياسي من خلال الكشف عن بيانات حساسة للموظفين مسروقة من شركة إيرباص للصناعات الجوية التابعة للبنتاغون. في الذكرى السنوية لهجمات 11 سبتمبر الإرهابية في عام 2023.
لكن وزارة الدفاع الأمريكية نفت هذا الادعاء، مؤكدة أن ولم تكن تصرفات المجموعة ذات طابع سياسي أو إرهابي، بل كانت مجرد أعمال إجرامية إلكترونية معتادة ــ مع بعض التحذيرات.
وفي أعقاب تقرير كريبس، قالت وزارة الدفاع الأميركية: “لن أهاجم روسيا، أو الصين، أو كوريا الجنوبية أو الشمالية، أو إسرائيل، أو إيران. أما البقية، فلا يهمني”.