Április óta ez a harmadik nagyszabású adatszivárgás egy francia állami weboldalon.

A kormányzati önkéntes platform június 15-én kibertámadás áldozatává vált. A biztonsági résen keresztül neveket, e-mail címeket, telefonszámokat, születési dátumokat és az önkéntesek tevékenységének előzményét lopták el. Az ANTS és a Tchap után ez a harmadik francia állami platform, amelyet három hónap alatt támadás ért.

Állítólag egy „misere” álnéven tevékenykedő hacker használta ki az IDOR (Insecure Direct Object Reference) biztonsági rést a JeVeuxAider.gouv.fr API-jában, amely a Civic Reserve platformja, és amely összeköti a civil szervezeteket, a közösségeket és az önkéntes jelölteket. A riasztást kiadó French Breaches szakportál szerint a támadó több IP-címről és fiókból automatizált lekérdezéseket hajtott végre, hogy 16,2 GB adatot szerezzen meg, amely körülbelül 550 000 fiókot, azaz több mint 1,2 millió rekordot és 421 000 egyedi e-mail-címet érint. A jelentések szerint a minták már keringenek egy dark webes fórumon.

A Sport-, Ifjúsági és Közösségi Élet Minisztériuma június 16-án sajtóközleményben erősítette meg a támadást, amelyből burkoltan kiderül, hogy lázas válságkezelés folyt: a dokumentum „visszavonja és felváltja” a reggel 9 órakor kiadott első sajtóközleményt, amely a platform ideiglenes felfüggesztését jelentette be. A hibajavítás után a weboldalt végül online állapotban tartották, a Minisztériumközi Digitális Igazgatóság (DINUM) támogatásával.

A nyilvánosságra került adatok között szerepelnek a regisztráltak nevei, e-mail címei, telefonszámai, születési dátumai és tevékenységi előzményei. A minisztérium kiemeli, hogy „csak olvasási joggal rendelkező adatkinyerésről” van szó, hogy jelszavak nem kerültek nyilvánosságra, és hogy a platform nem tárol banki adatokat vagy személyazonosító okmányokat. Az érintetteket egyenként értesítik, és arra kérik őket, hogy legyenek óvatosak a JeVeuxAider vagy partnerei nevében elkövetett adathalász kísérletekkel szemben.

A kockázat túlmutat a klasszikus adathalászaton, mivel a kiszivárgott adatok alapján rekonstruálható az egyes önkéntesek társadalmi szerepvállalási profilja: az általuk támogatott ügyek, a csatlakozott egyesületek, a megkeresett közösségek stb. Ezek az információk együttesen pontos képet adnak az érintettek személyes meggyőződéseiről, amit rosszindulatú célzott támadásokhoz vagy szociális manipulációhoz lehet felhasználni.

Április közepén a Nemzeti Biztonsági Okmányügyi Ügynökség (ANTS) 12 millió rekordot érintő adatbiztonsági incidenst tett közzé. Június elején a Tchap állami titkosított üzenetküldő rendszerbe törtek be. Három egymást követő adatbiztonsági incidens, pont abban a pillanatban, amikor a kormány 655 millió eurót szán a szuverén mesterséges intelligenciára, és egymillió tisztviselő számára teszi elérhetővé a Mistral asszisztenst. A francia állam digitális infrastruktúrájának biztonsága feltehetően előtérbe kerül az elkövetkezendő időszakban, az új kihívások fényében.