A Agência Nacional de Documentos Seguros, responsável pelos procedimentos relacionados a carteiras de identidade, passaportes, carteiras de habilitação e certificados de registro de veículos, detectou um incidente de segurança que pode ter resultado na divulgação de dados pessoais. A informação foi divulgada pelo Ministério do Interior.
Tanto as contas pessoais quanto as empresariais são afetadas.
Segundo o ministério, o incidente pode envolver dados de contas pessoais e empresariais. Os usuários identificados como afetados estão recebendo notificações personalizadas.
Para contas pessoais, os dados potencialmente comprometidos nesta fase consistem em informações de identificação: ID de login, título, sobrenome, nome, endereço de e-mail, data de nascimento e identificador único da conta. O ministério acrescenta que outras informações, nem sempre presentes nas contas, também podem ser afetadas, como endereço postal, local de nascimento e número de telefone.
O ministério esclarece que a divulgação não se refere a dados adicionais submetidos durante procedimentos administrativos, incluindo anexos. Afirma ainda que os dados mencionados, por si só, não permitem o acesso não autorizado à conta do portal.
20 milhões de franceses afetados?
Até o momento, o ministério não confirmou oficialmente o número exato de contas ou pessoas afetadas. Mas cerca de 20 milhões de franceses podem ter sido impactados por esse ataque cibernético.
O Ministério do Interior indica que um relatório foi enviado ao Ministério Público de Paris, nos termos do artigo 40.º do Código de Processo Penal, com vista à abertura de um inquérito. Especifica ainda que foram implementadas medidas de segurança reforçadas para garantir a continuidade do serviço e a proteção de dados.
Quais são os riscos para as pessoas envolvidas?
Uma violação de dados pessoais pode expor os indivíduos afetados a ataques de phishing direcionados, golpes, roubo de identidade ou tentativas de invasão de contas. Caso isso aconteça, é aconselhável entrar em contato com o serviço relevante para determinar quais dados podem ter sido comprometidos e reforçar a segurança da conta.
O que o quadro legal proporciona
A CNIL (Comissão Nacional de Informática e Liberdades da França) reitera que uma violação de dados pessoais inclui, em particular, a divulgação ou o acesso não autorizado a dados. O RGPD exige que as organizações previnam tais violações, as interrompam quando ocorrerem e, quando aplicável, notifiquem a CNIL e os indivíduos afetados.
Infelizmente, este ataque cibernético não é o primeiro do gênero. Em seu relatório anual de 2024, a CNIL indica ter recebido 5.629 notificações de violações de dados, 20% a mais do que em 2023, com um aumento em incidentes de grande escala, que por vezes afetaram mais de um milhão de pessoas.
