Free は大規模なハッキングの被害者となり、IBAN を含む数百万人の加入者の個人データが盗まれました。しかし、予想に反して結局売れませんでした…。
2024 年 10 月末にフリーが経験したハッキングは、その規模とその影響により歴史に残る可能性があります。少なくとも言えることは、この作品には紆余曲折が尽きないということです。盗まれたデータは販売されたはずだったため、事件はますます憂慮すべき方向に進んでいた。実際、倫理的ハッカー SaxX が報告したように、攻撃の背後にいるサイバー犯罪者は、drussellx と名乗り、盗んだディレクトリを 175,000 ドルで譲渡したと主張しています。言うまでもなく、状況はさらに危機的でした...
しかし、予想に反して、これは誤りであるようです。実際、信じられないほどの展開で、専門サイトはデータ侵害YuroSh と名乗る別のハッカーから連絡を受けました。後者は、Free のハッキングに参加したことを説明し、その証拠を私たちの同僚に提供し、盗まれたデータは決して販売されなかったと断言しています。しかも全然売れない。彼とdrussellxは戦利品の使用について合意できていないことが判明した。
したがって、ドラッセルクスはデータを使ってフリーから金をゆすり取ろうとした – 彼はフリーに圧力をかけ、より多くの金を得るためにオークションの話を捏造したと言われている – 一方、ユロシュはデータを強調するためにのみ使いたかった「大量監視」フランス国民。むしろ、彼は自分自身を個人の自由に対する監視と攻撃に断固反対するハクティビストであると表明しています。
フリーハッキング:「大量監視」への注目を集める
YuroSH は、運営者が実際に対応することなく、システムのセキュリティ上の欠陥について、過去にすでに Free に警告していたと説明しています。後者は、2022年にCNILによって以下の罪で30万ユーロの罰金数回も課されたことに注意してください。ユーザーの権利と GDPR への違反、 同様にデータセキュリティの問題については– 特に、パスワードの平文での保存と、約 4,100 個の不十分に修復されたフリーボックスの再配布が問題です。それでもなお、この倫理的ハッカーは、オペレーターのセキュリティは依然として高いレベルにあると付け加えています「あまり深く考えない人には最適です」たとえそうなったとしても「反応が遅い」。
ユロシュ氏は、フリー事件を利用してフランスの監視問題をより広く非難したいようだ。「私は聖人君子ではありませんが、free.fr事件が最終的にフランス人を大規模監視の現実に目覚めさせ、それと戦うことを願っています。」と彼は警告する。同氏によれば、この国はプライバシーの大幅な侵害に直面しており、「事実上存在しない」。彼によると、この問題は Free とその欠陥とは関係なく、システム的なものであり、「監視国家を課すことを決意した政府に根ざしている」。
彼はまた、2024 年のオリンピック前に「治安」を装って導入されたアルゴリズムによるビデオ監視の一般化についても指摘しているが、これは実際には個人の自由を著しく侵害し、全体主義的な行き過ぎの懸念を引き起こしている(参照)私たちの記事)。また、社会権を削減する監視ドローンやAI評価システムも批判されている。「新しいツールが登場するたびに、フランスは監視国家に近づきます。プライバシーは生命維持装置にかかっており、もし人々が今抵抗しなければ、すぐにプライバシーは完全に消滅する可能性があります。」。私たちは警告を受けました!
無料の著作権侵害: 「混乱を引き起こしたいという本当の願望」
念のためお知らせしますが、10 月 26 日から 28 日にかけて、Free は顧客に電子メールを送信して発表しました。「あなたのアカウントに関連付けられた個人データの一部への不正アクセス」。この発表は、謎のハッカーが無料の顧客データをダークウェブで販売した数日後に行われた。そして、この盗難は重大であり、特に機密データに影響を与えると言えば十分でしょう…
このハッカーは、そのユーモアからフランス人であると思われるが、パニックを引き起こしたかったようで、被害者を直接脅迫することをためらわなかった。「現在および以前の無料顧客全員、特に IBAN が侵害された顧客には、間もなく起こることに備えるようアドバイスします。」とフォーラムに書いた。
Free がモバイル加入者に送信した最初のメールは、すでに非常に心配なものでした。実際、ハッカーが姓、名、電子メールアドレスと郵便番号、生年月日と生年月日、出生場所、電話番号、加入者識別子および契約データ (加入したオファーの種類、加入日、アクティブな加入状況、またはない)。言い換えれば、非常に完全な個人情報シートであり、悪用や個人情報の盗難による数多くの詐欺の実行を可能にします。
しかし、オペレーターは、パスワードが漏洩していないことを確認したいと考えていました。「この攻撃を阻止し、情報システムの保護を強化するために必要なすべての措置が直ちに講じられました。」。検察に告訴状が提出され、検察庁に報告書が提出された。CNIL慣例通りに実施されていました。
フリーハッキング: 1,900 万人の加入者全体のデータ
しかし、フリーの2番目のメッセージは、今度はインターネット加入者に送られたもので、ぞっとするようなものだった。なぜなら、以前に報告されたデータに加えて、ハッカーが IBAN (国際銀行口座番号)、つまり顧客の銀行口座の詳細にアクセスしたことが特定されたからです。そして、それはさらに深刻な結果をもたらす別の話です。
実際、その後 2 つの新しいデータベースが売りに出されたため、被害は当初懸念されていたよりもはるかに大きくなりました。そのうちの 1 つは、Free Mobile 加入者と Freebox 顧客の名前、名、電話番号、完全な住所、生年月日、電子メール アドレスを含む 19,192,948 件の顧客アカウントが含まれていました。もう 1 つのファイルには、オペレーターの顧客に関する 500 万件を超える IBAN の詳細がリストされていました。
さらに悪いことに、drusselex と名乗るこのハッカーは、誰でもアクセスできる 100,000 個の IBAN の無料サンプルを配布しました。彼はそう主張した「めちゃくちゃになりたいというとんでもない欲望」、Free の創設者である Xavier Niel の最新の本に言及し、次のことを示しました。「データのコピーが 70,000 ドル以上で売られようとしている」。彼はまた、オペレーターに次のような交渉をするよう勧めました。「会社が数日以内にこの独自のオークションに参加しない場合、このデータのコピーは販売され、顧客に深刻な結果をもたらすことになり、近い将来フォーラムで公開される可能性があります。」。
しかし、オペレーターは比較的沈黙を保っていました。さらに悪いことに、彼はリスクを過小評価しすぎていたようです。 CCM編集スタッフに送ったメッセージの中で、彼は次のように述べた。「特定の Freebox 加入者の IBAN のみが影響を受けました。」– ただし、ハッカーの発表では、Freebox および Free Mobile 加入者の IBAN について言及されていました – そして「単純な IBAN だけでは銀行から引き出すのに十分ではないため、加入者の口座からの出金不明の引き出しが銀行によって受け入れられる可能性は非常に低いです。」しかし、彼は次のように断言した。「予防措置として、提携銀行に通知しました。」
しかし、潜在的な売却は、巧妙なフィッシング行為、個人情報の盗難、そして何よりも 500 万件の IBAN の盗難による被害者の銀行口座からの不正な引き出しへの扉を開くことになります。なぜなら、IBAN だけではアカウントを空にすることができない場合でも、他の機密情報と組み合わせることで SEPA の命令を実行できるようになるからです。 Free に対するサイバー攻撃中に侵害されたデータなど…
フリーハッキング: IBAN が盗まれた場合のリスクは何ですか?
のキャンペーンフィッシング今後数週間は依然として懸念される。実際、詐欺師はデータベースを入手すると、個人情報を使用して罠を調整し、オペレーター (この場合は無料) になりすますなど、メッセージの信頼性を高めます。
IBAN が盗まれたという事実は、深刻な結果をもたらす可能性があります。実際、このコードにより、銀行口座への送金が可能になります。このコードは、雇用主が従業員に給与を支払うために使用するだけでなく、口座振替の設定にも使用されます。そして、さまざまなサービス (電気、ガス、水道、モバイルおよびインターネットのプラン、ストリーミング プラットフォームなど) のサブスクリプションだけでなく、保険料や税金も、これらの SEPA 口座引き落としを通じて支払われます。また、体系的な身元確認が導入されていないため、IBAN とそれに関連するすべての個人情報を持ったハッカーは、銀行口座から簡単に口座引き落としを行うことができます。つまり、これは関係するすべての無料顧客にとって大規模な略奪への扉を開くことになります。
この情報はサイバー攻撃の実行にも使用される可能性があります。SIM交換、あなたになりすましてあなたの電話番号を盗み、あなたの名前で新しい SIM カードを注文することを目的とした流行の詐欺です。このようにして、ユーザーは 2 要素識別コードを直接受け取るため、さまざまなアカウントに簡単にアクセスできるようになります。これにより、作成した番号にプレミアム料金の通話ができるようになり、数百ユーロの電話料金がかかる可能性があります。
この情報により、サイバー犯罪者が次のような行為を実行できる可能性もあります。偽アドバイザー詐欺、口座振替の問題を主張し、クレジット カード、電話、電子メールによる即時支払いを要求します。さらに悪いことに、ハッカーはあなたの身元を盗み、銀行に口座からの引き落としの承認を求めることで、あなたの銀行口座から直接お金を引き出すこともできます。これを行うには、ID、電話番号、または国際的に銀行を識別できるようにする BIC コードなどのその他の銀行データが必要です。これは、すべての銀行の Web 上で公開されているため、特に見つけやすいことに注意してください。
身分証明書の裏面に署名が記載されていることから、署名も盗まれた可能性がある。しかし、ブログのセキュリティ研究者であるダミアン・バンカル氏は、あなたについて、最近、犯罪市場を調査中に、フランス人が所有する15,000枚の身分証明書のデータベースを発見しました。経済的損失がすぐにかなり大きなものになる可能性があると言えば十分でしょう…
無料の著作権侵害: 無料の購読者はどうすればよいですか?
フリーが著作権侵害の被害を受けるのはこれが初めてではありません。ザビエル・ニール氏の会社は、一部の顧客の個人データへの不正アクセスを発見した10月初旬に、すでにこの種の事件に見舞われていた(「私たちの記事)。さらに、同じシナリオが昨年2月にすでに起こっていた。 2024 年 3 月には、欠陥により顧客が顧客エリアから他の Freebox 加入者の請求書を閲覧できるようになりました。特に関与する顧客の数を考えると、これは多くの成果を上げ始めていると言えば十分でしょう。
つまり、あなたがこのオペレーターの加入者である場合は、今後数週間は特に警戒し、いつものように電子メールに急いで返信しないでください。SMS、電話、さらには差出人が分からない、または不審に思われる登録された手紙さえも。何かをする前に、時間をかけて話し相手の身元を確認してください。
何よりも、銀行取引の動きを監視する犯罪者が IBAN を盗んだことを考慮して、不正な口座引き落としを特定するためです。異常な引き落としが検出された場合は、その後 13 か月以内に不正な引き落としに対して異議を申し立てることができます。銀行は盗まれたお金を返金するよう求められています(「私たちの記事)。
ハッキング後に自分の個人データがダークウェブに漏洩したかどうかを調べるには、「I Have Been Pwned?」などのツールを使用できます。サイトの検索バーにメールアドレスを入力すると、情報漏えいが起きたデータベースにそのアドレスが表示されているかどうかを確認できる。
漏洩が発生した場合、このツールは、電子メール アドレスがハッキングされたサイトやアプリケーション、日付、電子メール アドレスに加えてパスワードなどの侵害された情報を一覧表示します。
