France Travail ukarany przez CNIL: 5 mln euro za braki w bezpieczeństwie po wycieku danych 36,8 mln osób

securitybeztabu.pl 7 godzin temu

Wprowadzenie do problemu / definicja luki

Francuski regulator ochrony danych (CNIL) nałożył na publiczną agencję zatrudnienia France Travail (dawniej Pôle Emploi) karę 5 mln euro za niewystarczające środki techniczne i organizacyjne chroniące dane osób poszukujących pracy. Sprawa jest istotna nie tylko ze względu na skalę (dziesiątki milionów rekordów), ale też dlatego, iż pokazuje „klasyczny” wektor ataku: socjotechnikę wspartą słabymi kontrolami dostępu i detekcji.

W skrócie

  • Kara: 5 mln euro; dodatkowo ryzyko kary okresowej 5 000 euro/dzień za brak wykazania działań naprawczych w terminie.
  • Atak: trwał od 6 lutego do 5 marca 2024, wykryty sygnałem anomalii 29 lutego; formalna notyfikacja do CNIL: 8 marca 2024 (uzupełniona 15 maja 2024).
  • Skala exfiltracji: 25 GB danych dotyczących 36 820 828 osób.
  • Wektor wejścia: socjotechnika i przejęcie kont doradców partnera Cap Emploi (m.in. poprzez proces resetu hasła i podszywanie się pod helpdesk).
  • Kluczowe braki (Art. 32 RODO): zbyt słabe mechanizmy uwierzytelniania, niewystarczające logowanie/monitoring oraz zbyt szerokie uprawnienia kont partnera.

Kontekst / historia / powiązania

CNIL wskazuje, iż naruszenie dotyczyło danych osób zarejestrowanych w France Travail w ciągu ostatnich 20 lat oraz osób posiadających konto kandydata na portalu francetravail.fr.
W decyzji sankcyjnej podkreślono też relację operacyjną z Cap Emploi (sieć struktur wspierających zatrudnienie osób z niepełnosprawnościami) i fakt, iż pracownicy partnera mieli zdalny dostęp do aplikacji biznesowej France Travail.

Analiza techniczna / szczegóły luki

1. Socjotechnika + przejęcie kont (Account Takeover)

Atakujący:

  1. zdobyli dane potrzebne do resetu hasła doradcy Cap Emploi,
  2. złożyli wniosek o reset do dostawcy wsparcia IT, podszywając się pod pracowników Cap Emploi,
  3. następnie kontaktowali się z doradcami, udając helpdesk i przekazując „nowe” hasło.

To typowy scenariusz „helpdesk-driven ATO”, gdzie bezpieczeństwo całego systemu zależy od jakości procedur weryfikacji tożsamości po stronie wsparcia oraz od tego, czy konto ma dodatkowe zabezpieczenia (np. MFA, restrykcje kontekstowe).

2. Skala dostępu i zakres wycieku

Według decyzji (SAN–2026-003) wyprowadzono m.in.: imię i nazwisko, datę urodzenia, NIR (francuski numer ubezpieczenia społecznego), adres, e-mail, telefon, status rejestracji i daty rejestracji – łącznie 36 820 828 osób i ok. 25 GB.
CNIL zaznacza jednocześnie, iż napastnicy nie uzyskali dostępu do „pełnych teczek” bezrobotnych, które mogą zawierać dane szczególnie wrażliwe (np. zdrowotne).

3. Co CNIL uznał za najważniejsze braki (Art. 32 RODO)

W komunikacie CNIL i materiale sprawy powtarzają się trzy filary:

  • Uwierzytelnianie kont partnera nie było wystarczająco odporne (w decyzji pojawia się m.in. krytyka progu 50 nieudanych prób logowania przed blokadą).
  • Detekcja i logowanie: niewystarczające mechanizmy monitoringu/journalizacji do szybkiego wykrywania anomalii.
  • Zasada najmniejszych uprawnień: konta doradców Cap Emploi miały uprawnienia zdefiniowane zbyt szeroko (dostęp do danych osób, których nie obsługiwali), co zwiększyło „blast radius”.
    Dodatkowo CNIL odnotował, iż część adekwatnych środków była zidentyfikowana wcześniej (np. w analizach ryzyka), ale nie została skutecznie wdrożona.

Praktyczne konsekwencje / ryzyko

Wyciek pakietu danych typu NIR + dane kontaktowe + adres to paliwo dla:

  • kradzieży tożsamości i prób „account recovery” w bankach/telekomach,
  • ukierunkowanego phishingu (podszywanie się pod instytucje publiczne, świadczenia, rekrutację),
  • oszustw socjalnych (np. fałszywe oferty pracy i wyłudzenia opłat),
  • długoterminowego ryzyka, bo dane dotyczą osób z horyzontu 20 lat rejestracji.

Rekomendacje operacyjne / co zrobić teraz

Jeśli zarządzasz systemem z dostępem partnerów/outsourcingu (B2B/B2G), ta sprawa podpowiada priorytety:

  1. Wymuś MFA i twarde polityki dostępu dla kont zewnętrznych
    • MFA wszędzie, a dla zdalnego dostępu: warunkowe reguły (kontekst, urządzenie, geolokacja, ryzyko).
  2. Uszczelnij procesy helpdesk/resetu hasła
    • weryfikacja wielokanałowa, „no-override”, rejestrowanie i audyt działań supportu, detekcja nadużyć resetów.
  3. Least privilege i segmentacja danych
    • uprawnienia „per caseload”, ograniczenia regionalne/funkcyjne, JIT/JEA dla dostępu podwyższonego.
  4. Monitoring, logowanie i szybka reakcja
    • centralizacja logów, korelacja (SIEM), alerty na anomalie (nietypowe zapytania masowe, eksporty, wzrost zużycia zasobów), playbooki IR.
  5. Ćwiczenia z socjotechniki + „defense in depth”
    • szkolenia, testy, symulacje, ale też zabezpieczenia systemowe zakładające, iż użytkownik może zostać zmanipulowany (CNIL wyraźnie podkreśla ten punkt w argumentacji).

Różnice / porównania z innymi przypadkami

W styczniu 2026 CNIL uderzył również w sektor prywatny: FREE MOBILE i FREE dostały łącznie 42 mln euro m.in. za niewystarczająco robustne uwierzytelnianie do VPN i nieskuteczną detekcję anomalii – znów wprost w kontekście Art. 32 RODO.

Wspólny mianownik obu spraw:

  • regulator premiuje podejście „proporcjonalne do ryzyka”: im większa skala i wrażliwość danych, tym większa oczekiwana dojrzałość kontroli,
  • powtarza się nacisk na uwierzytelnianie + monitoring + minimalizację uprawnień jako „bazę”, nie opcję.

Podsumowanie / najważniejsze wnioski

  • To nie „egzotyczny zero-day”, tylko mieszanka socjotechniki i luk w kontrolach: ATO przez helpdesk + szerokie uprawnienia + słaba detekcja.
  • Skala (36,8 mln osób, 25 GB) i wrażliwy identyfikator (NIR) sprawiają, iż incydent ma realne przełożenie na fraudy i phishing.
  • CNIL konsekwentnie stosuje Art. 32 RODO: bezpieczeństwo ma być wdrożone, a nie tylko „opisane w analizie ryzyka”.

Źródła / bibliografia

  1. CNIL – komunikat o sankcji dla France Travail (29.01.2026; decyzja 22.01.2026) (CNIL)
  2. Légifrance – Délibération SAN–2026-003 (opis incydentu, 36 820 828 osób, 25 GB, przebieg ataku) (Légifrance)
  3. The Record (Recorded Future News) – omówienie decyzji i stanowiska France Travail (The Record from Recorded Future)
  4. Help Net Security – skrót konsekwencji i kontekstu regulacyjnego (Help Net Security)
  5. CNIL – analogiczna sankcja dot. bezpieczeństwa (FREE MOBILE/FREE, 14.01.2026) (CNIL)
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. France Travail ukarany przez CNIL: 5 mln euro za braki w bezpieczeństwie po wycieku danych 36,8 mln osób

Powiązane

Polska stawia NATO warunek. Jedność sojuszu na ostrzu noża

Polska stawia NATO warunek. Jedność sojuszu na ostrzu noża

1 godzina temu
Jak Rosjanie zhackowali polski sektor energetyczny miesiąc temu?

Jak Rosjanie zhackowali polski sektor energetyczny miesiąc t...

5 godzin temu
Kto i w jaki sposób zaatakował w grudniu 2025 polską infrastrukturę energetyczną

Kto i w jaki sposób zaatakował w grudniu 2025 polską infrast...

5 godzin temu
Raport z incydentu w sektorze energii z 29 grudnia 2025 roku

Raport z incydentu w sektorze energii z 29 grudnia 2025 roku...

6 godzin temu
Nowa opcja zwrotów na Allegro. Musisz o tym wiedzieć

Nowa opcja zwrotów na Allegro. Musisz o tym wiedzieć

6 godzin temu
Cyberprzestępca z dostępem do systemu komorniczego. Od razu to wykorzystał

Cyberprzestępca z dostępem do systemu komorniczego. Od razu ...

7 godzin temu
Hugging Face wykorzystany do dystrybucji tysięcy wariantów malware na Androida: kampania TrustBastion i „Premium Club”

Hugging Face wykorzystany do dystrybucji tysięcy wariantów m...

7 godzin temu
Google rozbija IPIDEA: „domowy” rynek proxy używany przez cyberprzestępców i grupy APT traci miliony węzłów

Google rozbija IPIDEA: „domowy” rynek proxy używany przez cy...

7 godzin temu

Polecane

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd konserwatorski

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd...

20 godzin temu
Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych w Miejskiej Hali Lodowej

Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych ...

1 dzień temu
Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

4 dni temu
Nie daj się oszukać metodą na podszywacza. Ogólnopolska kampania BLIK i polskiej Policji

Nie daj się oszukać metodą na podszywacza. Ogólnopolska kamp...

2 tygodni temu
Pomyłka z walizką i działania minersko-pirotechniczne na krakowskim lotnisku

Pomyłka z walizką i działania minersko-pirotechniczne na kra...

3 tygodni temu
RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

3 tygodni temu
Niewybuchy w lesie. Mieszkaniec powiadomił służby

Niewybuchy w lesie. Mieszkaniec powiadomił służby

4 tygodni temu
Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Mazowieckim pułku saperów w Kazuniu

Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Ma...

1 miesiąc temu
One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię w Bondi

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię...

1 miesiąc temu