Національне агентство з питань безпеки документів, яке керує процедурами, пов'язаними з посвідченнями особи, паспортами, водійськими посвідченнями та свідоцтвами про реєстрацію транспортних засобів, виявило інцидент безпеки, який міг призвести до розголошення персональних даних. Інформацію оприлюднило Міністерство внутрішніх справ.
Це стосується як особистих, так і бізнес-акаунтів.
За даними міністерства, інцидент міг стосуватися даних з особистих та бізнес-акаунтів. Користувачі, яких було визначено як постраждалих, отримують персоналізовані сповіщення.
Для особистих облікових записів потенційно скомпрометовані дані на цьому етапі включають ідентифікаційну інформацію: ідентифікатор для входу, звання, прізвище, ім'я, адресу електронної пошти, дату народження та унікальний ідентифікатор облікового запису. Міністерство додає, що також може бути порушена інша інформація, яка не завжди присутня в облікових записах, така як поштова адреса, місце народження та номер телефону.
Міністерство уточнює, що розкриття інформації не стосується додаткових даних, поданих під час адміністративних процедур, включаючи додатки. Воно також стверджує, що згадані дані самі по собі не дозволяють несанкціонованого доступу до облікового запису порталу.
20 мільйонів французів постраждали?
На цьому етапі міністерство офіційно не підтвердило точну кількість облікових записів чи постраждалих людей. Але близько 20 мільйонів французів могли постраждати від цієї хакерської атаки.
Міністерство внутрішніх справ зазначає, що відповідно до статті 40 Кримінально-процесуального кодексу до Генерального прокурора Парижа було надіслано звіт з метою початку розслідування. Також зазначається, що для забезпечення безперервності обслуговування та захисту даних було вжито посилених заходів безпеки.
Які ризики для залучених людей?
Витік персональних даних може наражати постраждалих осіб на цілеспрямовані фішингові атаки, шахрайство, крадіжку особистих даних або спроби злому облікового запису. У разі виявлення рекомендується звернутися до відповідної служби, щоб визначити, які дані могли бути скомпрометовані, та посилити безпеку облікового запису.
Що забезпечує правова база
CNIL (Французьке управління захисту даних) повторює, що порушення захисту персональних даних включає, зокрема, несанкціоноване розголошення даних або доступ до них. GDPR вимагає від організацій запобігати таким порушенням, припиняти їх у разі їх виникнення та, де це можливо, повідомляти CNIL та відповідних осіб.
Цей злом, на жаль, не перший у своєму роді. У своєму щорічному звіті за 2024 рік CNIL зазначає, що отримала 5629 повідомлень про витоки даних, що на 20% більше, ніж у 2023 році, зі збільшенням кількості дуже масштабних інцидентів, які іноді торкаються понад мільйона людей.
