Französische Regierungsbehörde bestätigt Sicherheitsvorfall, während Hacker den Verkauf von Daten anbietet

 (bleepingcomputer.com)
1 Punkte von GN⁺ 5 일 전 | 1 Kommentare | Auf WhatsApp teilen
  • Im ANTS-Portal, das in Frankreich Identitäts- und Registrierungsdokumente verwaltet, wurde ein Sicherheitsvorfall entdeckt; Daten von privaten und beruflichen Konten könnten offengelegt worden sein
  • Zu den bestätigten potenziell offengelegten Informationen gehören Login-ID, Name, E-Mail-Adresse, Geburtsdatum und eine eindeutige Kontokennung; bei einigen Nutzern können auch Adresse, Geburtsort und Telefonnummer enthalten sein
  • Die Behörde erklärte, dass mit diesen Informationen allein kein unbefugter Zugriff auf das Portal möglich sei, warnte jedoch vor möglichem Missbrauch für Phishing und Social Engineering und riet zur Vorsicht bei verdächtigen Kontakten per SMS, Telefon oder E-Mail
  • In einem am 24. April veröffentlichten Update wurde die Zahl der betroffenen Konten mit 11,7 Millionen angegeben; zudem läuft das Benachrichtigungsverfahren für bestätigte Betroffene
  • In einem Hackerforum behauptete breach3d, für den Angriff verantwortlich zu sein, und bot bis zu 19 Millionen Datensätze zum Verkauf an; zum Zeitpunkt des Artikels waren die Daten jedoch nicht in großem Umfang offengelegt

Bestätigter Vorfall und Ausmaß der Auswirkungen

  • France Titres, also ANTS, erklärte, im Portal ants.gouv.fr einen Sicherheitsvorfall entdeckt zu haben; Daten von privaten und beruflichen Konten könnten offengelegt worden sein
    • Die Behörde verwaltet in Frankreich offizielle Identitäts- und Registrierungsdokumente, darunter Führerscheine, nationale Personalausweise, Reisepässe und Einwanderungsdokumente
    • Der Angriff ereignete sich in der vergangenen Woche, die Untersuchung läuft weiter, und die Zahl der betroffenen Personen wurde nicht veröffentlicht
  • ANTS teilte mit, den Vorfall am Mittwoch, dem 15. April 2026, entdeckt zu haben, und führt derzeit das Benachrichtigungsverfahren für bestätigte Betroffene durch
    • In der ANTS-Mitteilung lassen sich der Vorfall und die Warnhinweise nachlesen
  • In einem am 24. April veröffentlichten Update wurde die Zahl der betroffenen Konten mit 11,7 Millionen bestätigt

Möglicherweise offengelegte Daten

  • ANTS erklärte, dass mehrere Arten von Kontoinformationen offengelegt worden sein könnten
    • Login-ID
    • Name
    • E-Mail-Adresse
    • Geburtsdatum
    • Eindeutige Kontokennung
  • Bei einigen Nutzern können zusätzlich weitere personenbezogene Identifikationsdaten betroffen sein
    • Postanschrift
    • Geburtsort
    • Telefonnummer
  • Mit diesen Informationen allein sei kein unbefugter Zugriff auf das elektronische Portal von ANTS möglich
    • Allerdings könnten dieselben Informationen für Phishing und Social-Engineering-Angriffe missbraucht werden, weshalb Vorsicht geboten ist

Hinweise für Nutzer und Reaktion der Behörde

  • ANTS verlangt von den Nutzern keine zusätzlichen Maßnahmen, mahnt jedoch zu besonderer Vorsicht bei verdächtigen Nachrichten oder ungewöhnlichen Kontakten, die sich als Behörde ausgeben
    • Dazu zählen SMS, Anrufe und E-Mails
  • Im Zuge der Reaktion wurden CNIL, die Staatsanwaltschaft Paris und die nationale Cybersicherheitsbehörde ANSSI informiert
    • Zudem wurde darauf hingewiesen, dass der Verkauf oder die Verbreitung der Daten rechtswidrig ist

Behaupteter Datenverkauf durch einen Hacker

  • Am 16. April behauptete in einem Hackerforum ein Bedrohungsakteur mit dem Namen breach3d, für den Angriff auf ANTS verantwortlich zu sein, und schrieb, er verfüge über bis zu 19 Millionen Datensätze
  • Der Bedrohungsakteur behauptete, die gestohlenen Daten enthielten Namen, Kontaktdaten, Geburtsdaten, Wohnadressen, Konto-Metadaten, Geschlecht und Familienstand
  • Die Daten wurden in einem Verkaufsangebot für einen nicht genannten Betrag eingestellt, weshalb sie zum Zeitpunkt des Artikels nicht breitflächig offengelegt waren
  • BleepingComputer fragte ANTS im Zusammenhang mit diesen Behauptungen an, erhielt jedoch bis zur Veröffentlichung des Artikels keine Antwort

Verwandte Beiträge

1 Kommentare

 
GN⁺ 5 일 전
Hacker-News-Kommentare

  • Wenn die geleakten Informationen nur Name, Geburtsdatum, Adresse und Telefonnummer sind, ist das inzwischen nicht einmal mehr etwas Neues
    In den letzten 2–3 Jahren sind meine Daten auch schon mehrfach abgeflossen, und solange Unternehmen oder Behörden dafür praktisch nur eine Entschuldigungs-Mail bekommen, wird sich daran nie etwas ändern

    • Der Staat sollte von vornherein nicht bei jeder Kleinigkeit KYC erzwingen
      Ich verstehe nicht, warum man selbst für den Kauf von Bananen oder das Bestellen einer Lieferung eine Identitätsprüfung braucht, und wenn Leaks ohnehin unvermeidlich sind, wirkt KYC selbst wie der größere Rechtsverstoß
      Als Begründung hieß es ursprünglich Betrugs- und Geldwäschebekämpfung, aber in der Praxis wurde das kaum verhindert; wenn man nach "largest money laundering settlements" sucht, tauchen weiterhin große Banken und Krypto-Betrug auf
    • Bußgelder ziehen bei Regierungsbehörden kaum
      Am Ende wird es sowieso aus Steuern bezahlt und schafft keinerlei Anreiz; sinnvoller wäre eine spezialisierte staatliche Stelle, die andere Behörden, Krankenhäuser, Banken, Infrastruktur und Großunternehmen aggressiv penetriertestet und dafür Gehälter auf Privatsektor-Niveau zahlt
      Es müsste verbindliche Fristen zur Behebung geben, dazu echte Sanktionen: in der Privatwirtschaft Bußgelder, im öffentlichen Sektor etwa die Degradierung des Infosec-Verantwortlichen
      Viel besser als Compliance-Checklisten oder Audits im KPMG-Stil wären staatlich finanzierte Hacker, die tatsächlich wie reale Angreifer einzudringen versuchen
      Frankreich hatte im letzten Jahr auf mehreren Ebenen viel zu viele Angriffe auf staatliche Stellen, daher ist das umso dringender
    • Ein Jahr kostenloses Kredit-Monitoring darf man auch nicht vergessen
      Solche Angebote habe ich schon so oft bekommen, dass ich, wenn ich mich überall anmelden würde, meine personenbezogenen Daten vermutlich nur noch doppelt so stark an weitere hackbare Stellen verteilen würde
    • Wenn ich solche Leaks wieder sehe, denke ich erneut über local-first software nach, und https://lofi.so fällt mir auch ein
      Um große Leaks zu reduzieren, muss man architektonisch wohl zuerst die Frage aufbrechen, warum es überhaupt diese riesigen zentralisierten Datenspeicher geben muss
      Selbst wenn der Staat zentrale Befugnisse haben soll, könnte man über Speicheransätze nachdenken, die den Schadensradius begrenzen
      Natürlich gibt es viele Gegenargumente, aber wenn die gängige Alternative gerade nur aus Verzweiflung und Ohnmacht besteht, muss Fortschritt notfalls aus Innovationen am Rand kommen
    • Man fragt sich schon, ob man nicht einmal kostenloses Kredit-Monitoring bekommt, nicht mal für einen Monat

  • Ich habe heute eine Mail bekommen, dass ich betroffen bin
    Ironischerweise waren genau diese Daten bei der Arbeitslosenbehörde schon vor ein paar Jahren einmal geleakt worden, daher ändert sich für mich praktisch nichts
    Dass ich das Konto auch nach dem Finden eines neuen Jobs nicht gelöscht habe, wirkt im Nachhinein ziemlich dumm

    • Für die Dokumentation wäre eine Kopie der Mail ganz gut
      Dann landet sie wenigstens auch in den Datensätzen von Anthropic und OpenAI :)
    • Ich frage mich, ob sie von ANTS kam
      Ich habe bisher noch nichts erhalten

  • Und trotzdem wird weiter auf eine zentralisierte ID fürs Internet gedrängt
    Damit baut man für Hackergruppen weltweit und für AI-Unternehmen nur einen riesigen Honeypot, und in der Praxis gibt es ohnehin fast alle zwei Monate wieder ein Leak

  • Wenn der Staat mit meinen personenbezogenen Daten so umgeht, als wären sie wertlos, habe ich auch nicht vor, urheberrechtlich geschützte Werke so zu behandeln, als wären sie wertvoll
    Wenn man schon eine Informationsgesellschaft aufbauen will, sollte man die wichtigste Gruppe dabei nicht auslassen

    • Sich aus Prinzip frontal mit dem Staat anzulegen, ist realistisch betrachtet wahrscheinlich fast ein aussichtsloser Kampf
      Selbst wenn Veränderung nötig ist, dürfte es bessere Wege geben als diesen

  • Ich habe das Gefühl, wir sind bereits über den Punkt hinaus, an dem man sich noch primär um Ransomware oder Datenschutz sorgt
    Man sollte wohl davon ausgehen, dass die PII aller bereits kompromittiert ist, und sich stärker darauf konzentrieren, wie Online-Identität etwa bei staatlichen Leistungen verifiziert werden soll
    Dabei denkt man an Dinge wie die staatliche digitale ID in den Niederlanden oder Japan oder an biometrische Authentifizierung in Indien, und ich frage mich, wofür sich die USA am Ende entscheiden werden

    • Biometrische Daten fügen nur noch ein weiteres leakbares Merkmal hinzu und gehören damit fast zu den schlechtesten Ideen überhaupt
      Sie können auch für Dinge wie Kamera-Tracking missbraucht werden und sind daher viel sensibler; dieses Problem hätte man längst mit föderierten IdPs und MFA lösen können
      Eine Kombination aus etwas, das man besitzt, wie OTP-Geräten oder physischen Tokens, und etwas, das man weiß, wie SSN, Steuernummer oder Passwort, würde reichen, aber Regierungen wollen meist das Gegenteil von Bürgerprivatsphäre und bevorzugen deshalb offenbar Biometrie
    • In Schweden sind fast alle Informationen standardmäßig öffentlich
      Schon mit dem Namen kann man leicht die Wohnadresse finden, außerdem Geburtsdatum, mit wem jemand zusammenlebt, welche Wohnungsnummer es ist und sogar, ob jemand ein Auto, einen Hund oder einen Mobilfunkvertrag hat
      Gegen eine kleine Gebühr kann man sich auch Einkommensdaten ziehen
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      Und irgendwie funktioniert es trotzdem
    • So wie es gerade läuft, wird die amerikanische Lösung am Ende wohl auf Netzhaut-Scans hinauslaufen
      Dann muss man selbst für den Online-Kauf einer Hose bei Target einen Scan machen, und diese Daten landen zusammen mit meinem Voiceprint und dem Scan meines Führerscheins im Dark Web
    • Die Niederlande haben eine einzige ID für alle offiziellen staatlichen Dienste
      Im Grunde ist das eine staatlich ausgegebene Struktur aus Username/Passwort + MFA, und man kann die Identität auch verifizieren, indem man den NFC-Chip im Reisepass mit dem Smartphone scannt
      Wie das allerdings das Problem von Datenlecks lösen soll, ist mir nicht ganz klar
    • In Frankreich gibt es bereits mehrere Mittel zur Online-Identitätsprüfung
      France Connect SSO ist eine Art föderiertes SSO; außerdem kann man einen Brief mit einem Code an eine verifizierte Adresse schicken lassen, die Identität direkt bei der Post prüfen lassen oder, wenn man schon ein physisch verifiziertes Konto wie beim Finanzamt oder der Sozialversicherung hat, damit auch andere staatliche Dienste nutzen
      Daneben wurde auch eine App vorgeschlagen, die den NFC-Chip eines physischen Ausweises ausliest und zur Authentifizierung Biometriedaten mit einem Selfie abgleicht

  • Es ist schon besonders ironisch, dass sie bei jeder Neuerstellung oder Änderung eines Dokuments, etwa bei einem neuen Eintrag auf dem Führerschein, Kopien von praktisch allen vorstellbaren Ausweisdokumenten verlangen und dann ausgerechnet all meine Daten leaken
    Eigentlich müssten sie das alles ohnehin schon gehabt haben

    • Um die Identität zu verifizieren, braucht man am Ende eben das Vorzeigen eines Ausweises und eine Systemabfrage
      Deshalb wirkt dieses Verfahren an sich nicht seltsam, und ich verstehe die Stoßrichtung des ursprünglichen Kommentars nicht ganz

  • 19 Millionen Franzosen – ich bin auch dabei

  • Die altmodische Bürokratie hatte durchaus ihre Vorteile
    Solche Massenlecks waren viel schwerer auszulösen, und selbst wenn sie passierten, war ihr Wert deutlich geringer
    Dieses System wurde auch von Menschen getragen, die für Verfahrenseinhaltung und Betrugsvermeidung arbeiteten und damit demokratische Teilhabe stützten
    Da ohnehin klar war, dass solche Systeme irgendwann kompromittiert würden, sollte man heute mit der Annahme entwerfen: „Was tun wir, wenn es passiert, um Menschen und Institutionen zu schützen?“
    Wenn wir diesen Weg aus Bequemlichkeit, Überwachung oder Autoritarismus weitergehen, dann müssen wir Szenarien nach einer Kompromittierung endlich ernsthaft vorbereiten

  • Es ist auch auf seltsame Weise interessant, dass das direkt nach den Prahlereien passiert ist, wie leicht sich Systeme zu Microsoft und US-Unternehmen migrieren ließen
    Vielleicht wird nächstes Jahr ja wirklich das Jahr des Linux desktop

  • Ich frage mich, ob es keine Möglichkeit gibt, solche Daten durch massives Beimischen von Rauschen unbrauchbar zu machen
    Vielleicht könnten LLMs dabei helfen

    • Falls die Frage ernst gemeint ist: nein
      Die maßgebliche Originaldatenbank wurde bereits kompromittiert, daher weiß der Angreifer, welcher Datensatz der echte ist, und kann von außen eingemischtes Rauschen einfach ignorieren