私たちは、4,300 万人を超える求職者の個人データが盗まれた、フランス トラヴァイユに対するサイバー攻撃について詳しく知っています。容疑者3人はすでに逮捕されている。そして彼らはとても若いです!
それが効果的な調査と呼ばれるものです。パリ検察当局が3月19日に発表した。プレスリリース、サイバー犯罪と戦う旅団(BL2C)が、フランス・トラヴァイユ(旧ポール・アンプロワ)の大規模ハッキングに関与した20代の3人をすでに逮捕したと発表した。実際、同組織は 3 月 13 日に次のようなサイバー攻撃を受けたと発表しました。「潜在的に」4,300万人 – この数字はパリ検察庁によって確認されています。それだけです!「私たちが被害者となったキャップ従業員のサイバー攻撃を受けて、お客様に関する個人情報が公開される可能性がありますが、お客様の銀行情報は影響を受けません。この事件については申し訳なく思っておりますので、引き続きご注意ください。」、ウェブサイトで読めますか、発表から数日経っても。
3人は拘留され、起訴された。「自動データ処理システムへの不正アクセスとメンテナンス、このデータの抽出、詐欺およびマネーロンダリング」t」。検察側はこう明記している「これらの犯罪はいずれも、組織化されたギャングの状況によって悪化している」。
パリ検察官のローレ・ベキュオー氏が説明しているように、捜査の結果、この攻撃がもっぱら次のようなものに基づいていたことが初めて確認できた。「フランス・トラヴァイユ情報システムに存在するリソースへのアクセスを許可されたキャップ・エンプロイのエージェント・アカウント」 。当局は以下を使用して容疑者3人を特定することができた。「技術的および電話による調査」。その後、彼らの家宅捜索とコンピューター機器の分析により、彼らが何らかの行為に従事していたことが判明した。「フィッシング手法を利用した詐欺行為」。しかし、BL2C は研究を止めるつもりはありません。彼女は現在、フランス・トラヴァイユのハッキングに関与した可能性のある他の関係者を探しており、それぞれがこの作戦で果たした役割を正確に特定しようとしている。
France Travail のハッキング: データのセキュリティと保存に問題?
念のために言っておきますが、この攻撃は 2 月 6 日から 3 月 5 日までの 1 か月という膨大な期間にわたって発生しましたが、検出されたのは 3 月 11 日の週でした。「不審な要求」データベース内で。個人情報「過去 20 年間に以前に登録した人や、求職者リストに登録されていないが、francetravail.fr に候補者スペースを持っている人は、情報が公開され、違法に悪用される可能性があります。」と就職エージェントが解説します。姓名、社会保障番号、生年月日、France Travail ID、電子メールアドレスと郵便番号、電話番号が盗まれました。ただし、パスワードや銀行口座の詳細は漏洩しませんでした。
ただし、厄介な点が 1 つあります。それは、個人データの保存期間であり、この特定のケースでは、最大 20 年に及ぶ可能性があります。これは、特に、使用されていない個人データは 3 年後に削除することを規定する一般データ保護規則 (GDPR) を考慮すると、控えめに言っても異例です。ただし、この期間は、詳細文書の中でFrance Travail の個人データ保護に関するポリシーと枠組み – 正直に言うと、たとえ誰も読まなかったとしても。「求職者名簿に登録された者の個人スペースとデータは、求職者名簿への登録停止後最長20年間保管されます。」、読むことができます。次に、フランス・トラヴァイユは、労働法を引用してこの法律に言及します(R.5312-44)。なぜこのような時間の経過があるのでしょうか?非常に単純に、求職者が時間をかけてキャリアを再構築し、自分の権利を主張できるようにするためです。誰かの職業上のキャリアを再構築するには、さまざまな要素を長期にわたって保持できる必要があります。これは特に、失業期間に関連する要素を回収することにより、退職する権利を主張するのに役立ちますが、それは必ずしも保持する必要はありません。一方、求職者リストに登録されていない人のパーソナルスペースは、最後の接続から13か月後に削除されます。
もう 1 つの厄介な点は、データのセキュリティです。実際、このホールドアップは、報道されているように、障害者の就職活動を担当する組織であるキャップ・エンプロイのアドバイザーの「単純な」なりすましによって可能になった。世界。したがって、最先端のサイバー攻撃ではなく、確かにフィッシングのみを必要とする単純なアクションです...悪意のある人々による広範なデータの参照やそれに対する大規模な操作を回避できるようにするための、不十分な、あるいは欠如した区分化を浮き彫りにするハッキング。捜査の現段階で、検察は、わずかな警告も発することなく、単純なアドバイザーアカウントによってこれほど多くのデータが流出した可能性がどのようにしてあったのかを明らかにしていない。
France Travail のハッキング: さらなるサイバー攻撃
予備捜査はパリ検察庁によって開始され、パリ司法警察のサイバー犯罪旅団に委託された。簡易苦情制度影響を受けた人々のために。法律に従って、フランス トラヴァイユは苦情を申し立て、国家情報技術と自由委員会 (CNIL) に通知しました。影響を受けるすべての人々サイバー攻撃もちろん連絡されます。この件に関して質問がある場合は、39 49 電話プラットフォームを通じてサポートも利用できます。最後に、France Travail は、影響を受けた人々に情報を提供しました。簡略化された形式オンラインで直接苦情を提出できるようにするためです。
CNIL会長のマリー・ロール・ドゥニ氏は、次のように決めた。「特にインシデント前およびインシデントへの対応として実施されたセキュリティ対策が一般データ保護規則 (GDPR) の義務に関して適切であったかどうかを判断するために、調査を非常に迅速に実施する。」。あなたが関係者である場合、委員会は次のようにアドバイスします。
- 受信する可能性のあるメッセージ (SMS、電子メール) については特に注意し、特に支払いなどの緊急行動を促す場合には注意してください。
- パスワードや銀行口座の詳細を電子メールで決して伝えないでください。
- 疑わしい場合は添付ファイルを開かないこと、個人スペースへの接続を促すメッセージに含まれるリンクをクリックしないこと。
- さまざまなアカウントのアクティビティや動きを定期的にチェックするため。
- サイトに行くcybermalveillance.gouv.frあなたの個人情報を盗むことを目的とした行為から身を守る方法についてのアドバイスが必要です。
- 電子メール、銀行口座、その他の重要なサービス (税金、電子商取引サイトなど) に十分強力なパスワードを使用していることを確認します。
ポール従業員がデータ漏洩の被害者となるのはこれが初めてではない。すでに2021年6月に、このサイトは12万人以上に関する120万件の個人データを削除していた。さらに悪いことに、昨年の夏、ポール従業員のサービスプロバイダーの 1 つに対するサイバー攻撃が発生し、1,000 万人を超える求職者の個人データが販売されました。私たちの記事)。