Французьке агентство з працевлаштування France Travail отримало штраф у €5 мільйонів після одного з найбільших витоків персональних даних у країні. Внаслідок атаки зловмисники отримали доступ до інформації понад 36,8 млн людей, які зверталися за роботою протягом останніх 20 років.
Злам стався у березні 2024 року і був реалізований не через технічну вразливість, а за допомогою соціальної інженерії. Атакувальники видали себе за співробітників підрозділу Cap Emploi, який допомагає людям з інвалідністю знайти роботу, та звернулися до IT-служби з проханням скинути пароль.
Після цього хакери застосували класичну схему подвійної підміни: вони знову зв’язалися з реальним співробітником Cap Emploi, цього разу вже від імені служби підтримки, і отримали новий пароль. Це дало їм повний доступ до системи.
У результаті було викрадено близько 25 ГБ даних, включно з номерами соціального страхування, електронними адресами, поштовими адресами та телефонами майже 37 мільйонів осіб. Повні профілі з медичними даними, за словами регулятора, не постраждали. Французький регулятор з питань захисту даних CNIL встановив, що France Travail порушила статтю 32 GDPR, не забезпечивши базові технічні та організаційні заходи безпеки.
Зокрема:
дозволялися паролі лише з 8 символів;
двохфакторна автентифікація (MFA) була відсутня;
обліковий запис блокувався лише після 50 невдалих спроб входу.
CNIL зобов’язала агентство усунути порушення протягом одного місяця. За кожен день прострочення передбачено штраф €5 000.
Цей інцидент наочно показує, що навіть державні структури з багатомільйонними базами даних залишаються вразливими без базових принципів кібергігієни. Соціальна інженерія знову довела свою ефективність, а відсутність MFA та слабкі політики доступу можуть мати катастрофічні наслідки в масштабах цілої країни.
