Una presunta violazione di dati, riguardante 2,9 miliardi di persone, è stata smentita dall'esperto di sicurezza Troy Hunt. Il gruppo di cybercriminali ASDoD aveva messo in vendita online, per ben 3,5 milioni di dollari, un database che conteneva le informazioni personali di quasi 3 miliardi di individui provenienti da Stati Uniti, Canada, Regno Unito e altre nazioni.
Tuttavia, l'analisi condotta da Hunt (fondatore del sito HaveIBeenPwned) ha rivelato diverse incongruenze che mettono in dubbio la portata e l'autenticità della violazione.
Innanzitutto, la popolazione combinata dei paesi citati non raggiunge i 2,9 miliardi. Inoltre, il database fa riferimento a dei numeri di previdenza sociale americani anche per Canada, Regno Unito e altri paesi che utilizzano sistemi diversi.
Hunt ha anche evidenziato discrepanze nelle dimensioni dichiarate del database rispetto a quelle effettive. Esaminando un campione di 100 milioni di righe, solo il 31% conteneva numeri di previdenza sociale univoci. Molte informazioni risultavano duplicate o non corrispondenti tra loro.
Troy Hunt ipotizza che l'iniziale presenza di alcuni dati autentici abbia alimentato l'hype mediatico sulla "più grande violazione di dati di sempre", portando a sovrastimare la reale entità dell'incidente.
Sulla base del clamore mediatico, ASDoD avrebbe ingigantito i numeri nel tentativo di richiedere un pagamento molto più consistente.
Tuttavia, Hunt sottolinea che sono comunque presenti migliaia di informazioni personali, e numeri di previdenza sociale legittimi, sebbene in un numero decisamente inferiore rispetto a quanto dichiarato dai cybercriminali.
Nonostante le inesattezze riscontrate, la diffusione di 134 milioni di indirizzi email validi potrebbe esporre numerose persone a rischi di phishing o furti d'identità.
Questo episodio, al netto della violazione, evidenzia la necessità di verificare attentamente le notizie su presunte violazioni di dati di vasta portata, evitando allarmismi ingiustificati che potrebbero sfociare, come in questo caso, in un'ulteriore opportunità, per i cybercriminali, di generare ulteriore panico e ottenere più soldi.