Francuski rząd: wyciek z rejestru FICOBA naraził dane 1,2 mln rachunków bankowych

Wprowadzenie do problemu / definicja luki

Francuskie Ministerstwo Gospodarki i Finansów poinformowało o nieuprawnionym dostępie do części krajowego rejestru rachunków bankowych FICOBA (Fichier national des comptes bancaires). To nie jest „wyciek z banku” w rozumieniu dostępu do środków, tylko kompromitacja centralnej bazy referencyjnej, która zawiera metadane o rachunkach i ich posiadaczach. Skala incydentu (1,2 mln rachunków) sprawia jednak, iż ryzyko nadużyć socjotechnicznych i oszustw ukierunkowanych rośnie skokowo.

W skrócie

• Kiedy: aktywność miała rozpocząć się pod koniec stycznia 2026; incydent został wykryty i publicznie opisany w komunikacie z 18 lutego 2026.
• Skala: ok. 1,2 mln rachunków mogło zostać „skonsultowanych i wyekstrahowanych” (wg komunikatu).
• Jakie dane: m.in. RIB/IBAN, tożsamość posiadacza, adres oraz w niektórych przypadkach identyfikator podatkowy.
• Wektor: przejęte poświadczenia urzędnika posiadającego dostęp w ramach wymiany międzyresortowej.
• Co atakujący mógł / nie mógł: według władz to nie dawało możliwości wykonywania operacji bankowych ani wglądu w saldo/operacje – ale dane są wystarczające do wiarygodnych podszyć i wyłudzeń.
• Działania: ograniczono dostęp, zgłoszono incydent do CNIL, zapowiedziano powiadomienia osób oraz złożono zawiadomienie/wniesiono skargę.

Kontekst / historia / powiązania

FICOBA to rejestr, który kataloguje rachunki otwierane w instytucjach bankowych we Francji i jest wykorzystywany m.in. do celów administracyjnych (podatki, zwalczanie nadużyć, działania egzekucyjne). Nie przechowuje „dostępu do pieniędzy”, ale łączy dane identyfikacyjne z numerami rachunków, co czyni go idealnym źródłem do ataków ukierunkowanych (BEC/impersonation, vishing, spear-phishing).

Warto też zauważyć, iż duże, scentralizowane rejestry administracyjne są postrzegane jako „high-value targets” – im większa koncentracja danych, tym większy efekt pojedynczej kompromitacji konta lub procesu.

Analiza techniczna / szczegóły luki

Z perspektywy bezpieczeństwa incydent wygląda jak klasyczny scenariusz Identity-First / credential compromise:

1. Pozyskanie poświadczeń (hasło/token) urzędnika z uprawnieniami do FICOBA w ramach wymiany międzyresortowej. Źródło kradzieży nie zostało publicznie doprecyzowane (phishing, malware, reuse hasła, wyciek z innego systemu itp.).
2. Dostęp i enumeracja danych – „konsultacja części pliku” i potencjalna ekstrakcja rekordów.
3. Detekcja i ograniczenie dostępu – wdrożenie restrykcji, prace nad przywróceniem usługi „w najlepszych warunkach ochrony”.

Najważniejszy wniosek techniczny: o ile pojedyncza tożsamość użytkownika może odpytać/wyeksportować duże wolumeny danych, to organizacja ma problem z:

• zasadą najmniejszych uprawnień (least privilege),
• segmentacją i limitami zapytań/eksportu,
• monitorowaniem anomalii (nietypowe wolumeny, godziny, wzorce zapytań),
• oraz często z MFA / phishing-resistant MFA dla kont uprzywilejowanych (to hipoteza – komunikat o MFA nie mówi wprost, ale wektor „skradzione poświadczenia” jest typowy).

Praktyczne konsekwencje / ryzyko

Choć IBAN/RIB sam w sobie zwykle nie wystarcza do wykonania przelewu, to w połączeniu z imieniem, nazwiskiem i adresem umożliwia bardzo skuteczne nadużycia:

• Spear-phishing i vishing („fałszywy doradca bankowy” / „urzędnik skarbówki”) – dane z rejestru podnoszą wiarygodność ataku. Francuska administracja już ostrzega przed falą oszustw SMS/e-mail.
• Nadużycia poleceń zapłaty (SEPA Direct Debit) – część źródeł podkreśla, iż wyłudzenia mogą iść w kierunku prób uruchomienia obciążeń rachunku, jeżeli przestępcy potrafią obejść wymogi formalne/mandaty SDD lub podszyć się pod wierzyciela w łańcuchu.
• Kradzież tożsamości i oszustwa „na dane” – identyfikator podatkowy (jeśli dotyczy) zwiększa ryzyko nadużyć administracyjnych.

Rekomendacje operacyjne / co zrobić teraz

Dla osób, których dane mogły wyciec

1. Włącz alerty bankowe (SMS/push) dla transakcji i poleceń zapłaty, jeżeli bank oferuje.
2. Regularnie przeglądaj obciążenia i polecenia zapłaty; kwestionuj podejrzane pozycje możliwie gwałtownie (procedury zależą od banku i lokalnych przepisów).
3. Traktuj jako podejrzane telefony/SMS/e-maile powołujące się na urząd skarbowy/bank i proszące o kody, login, potwierdzenia. Administracja francuska wprost wskazuje, iż nie prosi o identyfikatory i dane karty przez wiadomości.
4. Zabezpiecz dowody (wiadomości, numery, domeny, zrzuty ekranu) i zgłaszaj incydenty odpowiednim kanałom.

Dla banków i dostawców płatności

• Podniesienie monitoringu pod kątem nietypowych dyspozycji SDD, wzrostu odrzuceń/chargebacków oraz kampanii podszywających się pod bank. (Źródła wskazują, iż banki zostały powiadomione, by ostrzegać klientów).

Dla administracji / operatorów rejestrów

• Phishing-resistant MFA dla kont z dostępem do wrażliwych rejestrów + twarde polityki urządzeń (managed endpoints).
• PAM / JIT access (czasowe nadawanie uprawnień), limity eksportu, „break-glass” z pełnym audytem.
• UEBA / detekcja anomalii: wolumeny zapytań, nietypowe korelacje, geolokalizacja, godziny pracy, fingerprint urządzenia.
• DLP i watermarking danych oraz mechanizmy „canary records” do wczesnej detekcji eksfiltracji.

Różnice / porównania z innymi przypadkami

Ten incydent dobrze ilustruje różnicę między:

• wyciekiem z systemu bankowego (gdzie konsekwencją mogą być bezpośrednie straty finansowe),
  a
• wyciekiem rejestru referencyjnego (gdzie dominującym ryzykiem są: ukierunkowany phishing, podszycia, oszustwa na polecenia zapłaty, kradzież tożsamości).

W praktyce to drugi typ często generuje więcej incydentów wtórnych, bo dane są „uniwersalne” i pasują do wielu scenariuszy socjotechniki.

Podsumowanie / najważniejsze wnioski

• 1,2 mln rachunków mogło zostać objętych nieuprawnionym dostępem do rejestru FICOBA pod koniec stycznia 2026 r.
• Atak miał charakter identity-based: użyto skradzionych poświadczeń urzędnika.
• Dane (IBAN + dane osobowe) są szczególnie groźne jako „amunicja” do phishingu/vishingu i potencjalnych prób nadużyć poleceń zapłaty.
• Największą lekcją dla organizacji jest konieczność połączenia: MFA odpornego na phishing, least privilege, monitoringu anomalii i kontroli masowego dostępu/eksportu.

Źródła / bibliografia

1. Komunikat prasowy Ministerstwa Finansów (Bercy): „Accès illégitimes au fichier national des comptes bancaires (FICOBA)” (18.02.2026). (Presse – Ministère des Finances)
2. SecurityWeek: „French Government Says 1.2 Million Bank Accounts Exposed in Breach” (19.02.2026). (SecurityWeek)
3. The Record (Recorded Future News): „Attackers breach France’s national bank account database” (19.02.2026). (The Record from Recorded Future)
4. Help Net Security: „Data on 1.2 million French bank accounts accessed in registry breach” (19.02.2026). (Help Net Security)