A violação de dados da Extreme pode afetar mais de 2 bilhões de pessoas

Em 6 de agosto de 2024, um dos maiores conjuntos de dados pessoais já vazados chegou a um fórum da dark web chamado Breachforums, gratuito para qualquer pessoa baixar e usar. Cerca de 2,7 bilhões de registros estavam contidos no arquivo, que foi postado por um usuário com o nome Fenice. Os registros consistem em partes importantes de informações pessoais, como endereços, datas de nascimento e números de previdência social, entre outras coisas. A violação supostamente afeta pessoas nos Estados Unidos, no Reino Unido e no Canadá.

O conjunto de dados foi originalmente publicado para venda em abril de 2024 pelo usuário USDoD, uma conta com supostos vínculos com um rede de crimes cibernéticos cibernético. A postagem anunciava os dados à venda por US$ 3,5 milhões, mas não pareceu despertar nenhum interesse no início. Em pouco tempo, os usuários começaram a postar partes do conjunto de dados gratuitamente, o que levou Fenice a vazar o arquivo inteiro. Junto com o arquivo, Fenice alegou que o USDoD não era realmente responsável pela violação original, e que ela foi perpetrada por outro usuário, o SXUL.

O arquivo postado por Fenice supostamente pesa bem mais de 250 terabytes e está em um formato comum que pode ser aberto no Microsoft Excel, no Google Sheets ou em outro software comparável. Acredita-se que o arquivo contenha informações sobre uma grande parte da população de cada um dos três países mencionados. Como podem existir vários registros para cada pessoa afetada e algumas pessoas que foram afetadas já confirmaram que algumas das informações são imprecisas, é difícil determinar exatamente quantas pessoas podem ter sido afetadas.

Os dados foram coletados por uma empresa conhecida como National Public Data, ou NPD. O modelo de negócios da empresa consiste, supostamente, em nada mais do que raspar fontes de dados públicos e juntar as descobertas. Um homem da Flórida entrou com uma ação judicial contra a empresa, que está sendo tratada como uma ação coletiva por dois escritórios de advocacia diferentes da Flórida e da Califórnia.

O processo alega que a NPD assumiu o dever de proteger os dados pessoais quando os adquiriu e compilou, e não cumpriu esse dever. Alega também que a empresa utilizou fontes não públicas, o que levou à posse de dados sobre indivíduos que não consentiram com sua coleta. As alegações contra a NPD incluem negligência, enriquecimento sem causa e violação de dever fiduciário.