Miliony danych Francuzów na sprzedaż. Haker włamał się do rządowego systemu

We Francji wybuchła sprawa, która może dotknąć miliony obywateli. Agence nationale des titres sécurisés, instytucja odpowiedzialna za wydawanie dowodów osobistych, paszportów i praw jazdy, potwierdziła incydent bezpieczeństwa związany z wyciekiem danych użytkowników swojego systemu.

Do naruszenia doszło w połowie kwietnia, a sprawa szybko nabrała rozgłosu po tym, jak osoba powiązana ze środowiskiem cyberprzestępczym ogłosiła, że posiada ogromną bazę danych pochodzącą z rządowego portalu. Skala potencjalnego wycieku jest ogromna.

Atak na system obsługujący dowody, paszporty i prawa jazdy

Agencja działa pod nadzorem Ministerstwa Spraw Wewnętrznych i odpowiada za cyfrową infrastrukturę obsługującą kluczowe dokumenty administracyjne. To właśnie tam trafiają dane wykorzystywane przy składaniu wniosków o dokumenty tożsamości i rejestrację pojazdów.

Według oficjalnego komunikatu incydent został wykryty 15 kwietnia. Śledztwo trwa, a urzędnicy nie podają jeszcze dokładnej liczby osób, których dane mogły zostać ujawnione. Wiadomo jednak, że wśród zagrożonych informacji znajdują się dane logowania, imiona i nazwiska, adresy e-mail, daty urodzenia, a w części przypadków także adresy zamieszkania i numery telefonów.

To zestaw danych, który może posłużyć do precyzyjnych ataków wymierzonych w konkretne osoby.

Haker twierdzi, że posiada 19 milionów rekordów

Sytuacja zaostrzyła się dzień po wykryciu incydentu. Osoba działająca pod pseudonimem „breach3d” opublikowała wpis na forum hakerskim, w którym zadeklarowała dostęp do ogromnej bazy danych. W rękach cyberprzestępcy podobno znajduje się nawet 19 milionów rekordów zawierających dane osobowe obywateli, które obejmują nie tylko podstawowe informacje, ale także szczegóły dotyczące kont użytkowników, takie jak stan cywilny czy dodatkowe metadane. Dane zostały wystawione na sprzedaż, choć nie wiadomo jeszcze, czy ktoś zdecydował się na ich zakup.

Władze uspokajają, ale eksperci widzą realne zagrożenie

Francuska agencja podkreśla, że ujawnione informacje nie pozwalają na bezpośrednie logowanie się do kont użytkowników. Jednocześnie ostrzega przed możliwymi próbami wyłudzeń, które mogą pojawić się w najbliższym czasie.

Zestaw danych obejmujący imię, nazwisko, datę urodzenia i kontakt elektroniczny wystarcza, by przygotować wiarygodne wiadomości phishingowe. Oszuści mogą podszywać się pod instytucje publiczne i próbować nakłonić ofiary do ujawnienia dodatkowych informacji lub kliknięcia w złośliwe linki.

Eksperci zwracają uwagę, że największe ryzyko pojawia się wtedy, gdy dane z jednego wycieku zostaną połączone z informacjami zdobytymi w innych incydentach.

Sprawą zajmują się służby i organy nadzorcze

Do sprawy włączono Commission nationale de l'informatique et des libertés, która odpowiada za ochronę danych osobowych we Francji. Powiadomiona została również prokuratura w Paryżu oraz Agence nationale de la sécurité des systèmes d'information, czyli krajowa instytucja zajmująca się cyberbezpieczeństwem.

Rozpoczęto procedury mające ustalić, w jaki sposób doszło do naruszenia i czy dane faktycznie opuściły systemy agencji. Władze zapowiadają działania prawne wobec osób odpowiedzialnych za ewentualne rozpowszechnianie informacji.

Jednocześnie użytkownicy są informowani o konieczności zachowania ostrożności wobec podejrzanych wiadomości, które mogą podszywać się pod oficjalną komunikację urzędową.