Het Franse UWV, France Travail, heeft een boete van vijf miljoen euro gekregen wegens het lekken van de persoonlijke gegevens van 37 miljoen mensen. Dat heeft de Franse privacytoezichthouder CNIL vandaag bekendgemaakt. Aanvallers wisten op een systeem van France Travail in te breken en zo namen, burgerservicenummers, adresgegevens, telefoonnummers, e-mailadressen, regio en andere informatie van zo'n 37 miljoen mensen te stelen. Het ging bij elkaar om 25 gigabyte aan data.
De gestolen gegevens waren van mensen die de afgelopen twintig jaar via het Franse UWV een baan zochten of hun cv op de website van de dienst hadden geplaatst. CNIL maakte het datalek begin 2024 bekend. Vervolgens deed de privacytoezichthouder onderzoek en ontdekte dat de aanvallers door middel van social engineering toegang tot het systeem hadden gekregen. In Frankrijk zijn er gespecialiseerde instellingen genaamd Cap emploi die mensen met een beperking helpen om een baan te vinden.
Cap emploi-accounts kunnen op de omgeving van het Franse UWV inloggen. Aanvallers wisten eerst de benodigde gegevens te vinden om het wachtwoord van een Cap emploi-account te laten resetten. Daarbij deden ze zich tegenover de helpdesk van de it-beheerder van het systeem voor als Cap emploi-medewerker en vroegen een wachtwoordreset aan. Vervolgens namen ze contact op met de Cap emploi-medewerker die ze net hadden geïmiteerd, maar deden zich nu voor als de helpdesk en vroegen aan de medewerker het nieuwe wachtwoord. Daarmee konden de aanvallers vervolgens inloggen.
Volgens de Franse privacytoezichthouder had France Travail geen technische en organisatorische maatregelen genomen om de aanval lastiger te maken. Met name de inlogmethode waardoor Cap emploi-medewerkers op het France Travail-systeem konden inloggen waren niet robuust genoeg. Zo werden wachtwoorden van acht karakters toegestaan, alsmede vijftig foutieve inlogpogingen voordat een account werd geblokkeerd. Tevens werd er geen gebruikgemaakt van multifactorauthenticatie.
Verder schoot de logging van France Travail tekort om verdacht gedrag op het systeem te detecteren. Daarnaast hadden Cap emploi-account teveel rechten. CNIL merkt op dat France Travail een overheidsinstantie is en het budget wettelijk is vastgesteld. De hoogte van de boete wordt daardoor niet bepaald door de jaarlijkse omzet. In plaats daarvan wordt er met een bandbreedte gewerkt, met een maximum van tien miljoen euro. De boete voor het overtreden van de AVG wordt uiteindelijk vastgesteld op 5 miljoen euro. Daarbij stelt de toezichthouder dat het boetebedrag naar de staatskas gaat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
