Incydent we Francji. Naruszenie bezpieczeństwa danych 1,2 mln kont bankowych

W środę 18 lutego br. francuskie Ministerstwo Gospodarki, Finansów oraz Suwerenności Przemysłowej i Cyfrowej wydało komunikat dotyczący naruszenia ochrony danych w podległej mu Dyrekcji Generalnej Finansów Publicznych (DGFiP). Śledztwo wykazało, że nieuprawniona osoba uzyskała nielegalny dostęp do krajowego rejestru rachunków bankowych FICOBA.

Resort przekazał, że pod koniec stycznia 2026 r. sprawca przejął dane uwierzytelniające jednego z urzędników, który posiadał dostęp do rejestru w ramach międzyresortowej wymiany informacji. W konsekwencji uzyskał dostęp do informacji o 1,2 mln rachunków bankowych, prowadzonych we francuskich instytucjach finansowych.

Działania naprawcze DGFiP

W celu odcięcia sprawcy od bazy danych natychmiast wprowadzono ograniczenia dostępu, zmniejszające zakres dostępnych w niej informacji, jednocześnie zapobiegając dalszemu nieautoryzowanemu dostępowi.

DGFiP poinformowała również wszystkie osoby poszkodowane o wycieku ich danych, podkreślając, że zwiększa to ich ryzyko stania się celem ataków phishingowych oraz oszustw finansowych.

Aby zapobiec podobnym incydentom w przyszłości, DGFiP prowadzi wielosektorowe działania we współpracy z francuskim Ministerstwem Finansów oraz Narodową Agencją Cyberbezpieczeństwa, mające na celu wzmocnienie bezpieczeństwa systemu informatycznego.

Incydent został zgłoszony do Narodowej Komisji ds. Technologii Informatycznych i Swobód Obywatelskich.

Zasada najmniejszych uprawnień

Sytuacja jest tym bardziej niebezpieczna, że choć rejestr FICOBA nie zawiera szczegółowych informacji o transakcjach ani saldach kont, gromadzi pełną listę rachunków (oraz papierów wartościowych) wraz adresem i danymi tożsamości ich posiadaczy, a także ich numerami i rodzajami kont.

W niektórych przypadkach rejestr przechowuje również identyfikator podatkowy użytkownika. Data i rodzaj przeprowadzanych operacji także są widoczne.

Komunikat DGFiP nie zawiera szczegółowych informacji technicznych dotyczących samego incydentu; nie wymienia luk w oprogramowaniu ani innych podatności, które umożliwiły jego wystąpienie. Według portalu ThreatRadar „naruszenie wskazuje na problem w zabezpieczeniach wewnętrznych systemów lub baz danych zarządzających rejestrem”.

Brak jest również informacji o konieczności wprowadzenia technicznych usprawnień w zakresie bezpieczeństwa.

Niemniej jednak incydent budzi pytania o kondycję sektora finansowego, stanowiącego część infrastruktury krytycznej. Fakt, że kompromitacja danych jednego urzędnika mogła doprowadzić do kradzieży informacji wrażliwych dla ponad miliona osób, świadczy o istotnych słabościach strukturalnych systemu.

Michael Jepson, menedżer ds. testów penetracyjnych w CybaVerse, w komentarzu dla SecurityWeek zwrócił uwagę, że tradycyjnie poziom uprawnień w organizacjach był rozszerzany wraz z rosnącym stażem pracy, co obecnie uznaje się za problematyczne w obliczu współczenych zagrożeń. Nowoczesne standardy bezpieczeństwa opierają się na przyznawaniu dostępu wyłącznie w oparciu o rzeczywiste potrzeby operacyjne, zgodnie z tzw. zasadą najmniejszych uprawnień (ang. principle of least privilege).

Każda polityka zezwalająca na szeroki dostęp do wrażliwych systemów za pośrednictwem jednej tożsamości, bez dodatkowych zabezpieczeń, stwarza znaczne ryzyko.
Michael Jepson