Extreem datalek kan gevolgen hebben voor meer dan 2 miljard mensen

Op 6 augustus 2024 lekte een van de grootste verzamelingen persoonlijke gegevens ooit gelekt uitgelekt op een dark web forum genaamd Breachforums, dat voor iedereen gratis te downloaden en te gebruiken was. Het bestand, dat gepost werd door een gebruiker met de naam Fenice, bevatte ongeveer 2,7 miljard records. De gegevens bestaan onder andere uit belangrijke stukjes persoonlijke informatie, zoals adressen, geboortedata en sofinummers. Het lek heeft naar verluidt gevolgen voor mensen in de Verenigde Staten, het Verenigd Koninkrijk en Canada.

De dataset werd oorspronkelijk in april 2024 te koop aangeboden door gebruiker USDoD, een account met vermeende banden met een cybercriminaliteit ring. In het bericht werden de gegevens te koop aangeboden voor $3,5 miljoen, maar in eerste instantie leek er geen interesse te zijn. Al snel begonnen gebruikers stukjes en beetjes van de dataset gratis te posten, wat leidde tot het lekken van het hele bestand door Fenice. Samen met het bestand beweerde Fenice dat USDoD eigenlijk niet verantwoordelijk was voor het oorspronkelijke lek en dat het gepleegd was door een andere gebruiker, SXUL.

Het door Fenice geplaatste bestand zou meer dan 250 terabytes groot zijn, en is in een gangbaar formaat dat geopend kan worden in Microsoft Excel, Google Sheets, of andere vergelijkbare software. Men denkt dat het bestand informatie bevat over een groot deel van de bevolking van elk van de drie genoemde landen. Aangezien er meerdere records voor elke getroffen persoon kunnen bestaan, en sommige getroffen mensen al bevestigd hebben dat sommige informatie niet correct is, is het moeilijk om precies vast te stellen hoeveel mensen er getroffen zijn.

De gegevens werden verzameld door een bedrijf dat bekend staat als National Public Data, of NPD. Het bedrijfsmodel van het bedrijf bestaat naar verluidt uit niets meer dan het schrapen van openbare gegevensbronnen en het samenstellen van de bevindingen. Er is een rechtszaak aangespannen tegen het bedrijf door een man uit Florida, en deze wordt behandeld als een groepsgeding door twee verschillende advocatenkantoren in Florida en Californië.

De aanklacht beweert dat NPD een plicht op zich nam om persoonlijke gegevens te beschermen toen ze deze verwierven en samenstelden, en dat ze deze plicht niet zijn nagekomen. Er wordt ook beweerd dat het bedrijf niet-openbare bronnen heeft gebruikt, wat ertoe heeft geleid dat het bedrijf in het bezit is van gegevens over personen die geen toestemming hebben gegeven voor het verzamelen ervan. De beschuldigingen tegen NPD omvatten nalatigheid, ongerechtvaardigde verrijking en schending van de fiduciaire plicht.