Огромная утечка персональных данных во Франции

Агентство занятости Франции (France Travail) сообщило, что у него произошла утечка персональных данных людей, которые искали работу в последние 20 лет. В общей сложности случилась утечка персональных данных 43 млн пользователей.

Правительственное агентство France Travail, ранее известное как Pôle emploi, сообщило, что были взломаны его системы, а также сервисы Cap Emploi, государственной службы занятости, которая поддерживает людей с ограниченными возможностями.

По данным France Travail, утекшие данные включают имена, номера социального страхования, даты рождения, пользовательские ID, электронные и почтовые адреса, а также номера телефонов пользователей программ France Travail и Cap Emploi. В официальном сообщении агентство подтвердило, что учетные данные и банковские реквизиты не подвергались риску компрометации. Пользователи могут беспрепятственно заходить в свои аккаунты, а инцидент не повлияет на выплату пособий по безработице, подчеркнули в France Travail. При этом агентство советует пользователям не терять бдительность перед лицом мошенников. В частности, не исключено, что злоумышленники будут обращаться к пользователям под видом сотрудников France Travail и Cap Emploi.

Известно, что France Travail уведомила об инциденте французскую национальную комиссию по информационным технологиям и гражданским свободам (CNIL), а также подала заявление в полицию. В свою очередь, правоохранительные органы начали расследование инцидента и опубликовали онлайн-форму для обращений людей, чьи данные могли быть скомпрометированы. CNIL инициировала собственное расследование, в ходе которого предстоит определить, приняло ли агентство занятости необходимые меры безопасности в соответствии с требованиями Европейского регламента по защите данных (GDPR).

Тем временем, 19 марта прокуратура Парижа объявила, что полиция арестовала трех человек, подозреваемых во взломе France Travail и Cap Emploi. Известно, что этим людям, соответственно, 21, 22 и 23 года, и все они живут во Франции.

По данным французского правительства, злоумышленники получили доступ к системам агентства занятости примерно 6 февраля. В публичном заявлении France Travail уточняет, что мошенники выдали себя за сотрудников Cap Emploi, а через несколько дней стала фиксироваться подозрительная активность в информационных системах.

France Travail уведомила CNIL об инциденте только месяц спустя, 8 марта. Некоторые специалисты по кибербезопасности удивлены столь запоздалой реакции. Но гораздо большую обеспокоенность общественности вызывает тот факт, что данные агентства занятости за 20 лет были доступны любому сотруднику.

Французский этичный хакер Клеман Доминго (Clément Domingo) выделяет четыре наиболее вероятных вектора атаки на France Travail: получение данных от инсайдера; эксплуатация уязвимости в ПО; неудачная миграция базы данных в открытый и небезопасный контур в облачном сервисе; компрометация на стороне третьих лиц.

Напомним, что летом 2023 г. французское агентство занятости потеряло персональные данные 10 млн безработных и получателей пособий.

Нынешняя утечка данных из France Travail — это второй крупный инцидент, зарегистрированный во Франции с начала 2024 г. Ранее в результате взлома платежных приложений утекла конфиденциальная информация 33 млн получателей услуг медицинского страхования.