Agência do governo francês confirma invasão enquanto hacker oferece venda de dados

 (bleepingcomputer.com)
1 pontos por GN⁺ 6 일 전 | 1 comentários | Compartilhar no WhatsApp
  • Um incidente de segurança foi detectado no portal ANTS, que gerencia documentos de identidade e registro na França, e dados de contas pessoais e profissionais podem ter sido expostos
  • As informações confirmadas como possivelmente expostas incluem ID de login, nome completo, e-mail, data de nascimento e um identificador exclusivo da conta; para alguns usuários, também podem incluir endereço, local de nascimento e número de telefone
  • A agência afirmou que essas informações, por si só, não permitem acesso não autorizado ao portal, mas podem ser exploradas em ataques de phishing e engenharia social, por isso é necessário ter cuidado com contatos suspeitos por SMS, telefone e e-mail
  • Em uma atualização publicada em 24 de abril, o número de contas afetadas foi confirmado em 11,7 milhões, e o processo de notificação dos afetados também está em andamento
  • Em um fórum de hackers, breach3d alegou ter realizado o ataque e colocou à venda até 19 milhões de registros, mas, no momento da publicação da matéria, os dados ainda não haviam sido amplamente vazados

Confirmação da invasão e alcance do impacto

  • A France Titres, ou ANTS, informou ter detectado um incidente de segurança no portal ants.gouv.fr, e que dados de contas pessoais e profissionais podem ter sido expostos
    • A agência administra documentos oficiais de identidade e registro na França, incluindo carteira de motorista, carteira nacional de identidade, passaporte e documentos de imigração
    • O ataque ocorreu na semana passada, a investigação continua em andamento e o número de pessoas expostas não foi divulgado
  • A ANTS informou que detectou o incidente na quarta-feira, 15 de abril de 2026, e está conduzindo o processo de notificação das pessoas confirmadas como afetadas
  • Em uma atualização publicada em 24 de abril, a quantidade de contas afetadas foi confirmada em 11,7 milhões

Dados que podem ter sido expostos

  • A ANTS informou que vários tipos de informações de conta podem ter sido expostos
    • ID de login
    • Nome completo
    • Endereço de e-mail
    • Data de nascimento
    • Identificador exclusivo da conta
  • Para alguns usuários, informações pessoais de identificação adicionais também podem estar incluídas
    • Endereço postal
    • Local de nascimento
    • Número de telefone
  • A agência afirmou que essas informações, por si só, não permitem acesso não autorizado ao portal eletrônico da ANTS
    • Ainda assim, é preciso cautela, pois essas mesmas informações podem ser exploradas em ataques de phishing e engenharia social

Orientação aos usuários e resposta

  • A ANTS não está exigindo nenhuma ação específica dos usuários, mas pede atenção redobrada a mensagens suspeitas ou contatos anormais que se passem pela agência
    • Entre os canais que exigem cautela estão SMS, telefone e e-mail
  • No processo de resposta, a agência notificou a CNIL, o Ministério Público de Paris e a agência nacional de cibersegurança ANSSI
    • Também alertou que a venda ou divulgação dos dados é ilegal

Alegação de venda por hacker

  • Em 16 de abril, em um fórum de hackers, um agente de ameaça chamado breach3d alegou ter atacado a ANTS e disse possuir até 19 milhões de registros
  • Esse agente de ameaça afirmou que os dados roubados incluem nome completo, informações de contato, dados de nascimento, endereço residencial, metadados de conta, gênero e estado civil
  • Os dados foram colocados à venda por um valor não divulgado, então, no momento da publicação da matéria, ainda não haviam sido amplamente vazados
  • O BleepingComputer consultou a ANTS sobre a alegação, mas não havia recebido resposta até o momento da publicação

Leituras relacionadas

1 comentários

 
GN⁺ 6 일 전
Comentários no Hacker News

  • Se os dados vazados forem só nome, data de nascimento, endereço e telefone, isso já nem é novidade
    Nos últimos 2 ou 3 anos, meus dados já vazaram várias vezes, e se a punição que empresas ou órgãos recebem é no máximo um e-mail de desculpas, isso nunca vai mudar

    • Para começo de conversa, o governo não deveria obrigar KYC em toda ação banal
      Não faz sentido exigir verificação de identidade até para comprar bananas ou pedir entrega, e, sendo o vazamento inevitável, o próprio KYC parece um ato ilegal ainda maior
      A justificativa original era prevenir fraude e lavagem de dinheiro, mas na prática isso nem funciona direito; basta procurar por "largest money laundering settlements" e aparecem grandes bancos e golpes com criptomoedas do mesmo jeito
    • Multa não funciona muito bem contra órgão público
      No fim sai dos impostos e não gera incentivo algum, então seria melhor ter um órgão governamental dedicado a fazer pentests agressivos contra outros órgãos, hospitais, bancos, infraestrutura e grandes empresas, pagando salários no nível do setor privado
      Deveriam impor prazos legais para corrigir os problemas, e haver sanções reais: multa para o setor privado, rebaixamento do responsável por infosec no setor público
      Isso seria muito melhor do que checklists de compliance ou auditorias estilo KPMG: hackers financiados pelo governo tentando invadir como atacantes reais
      A França teve hackeamentos demais em vários níveis do governo no último ano, então isso é ainda mais urgente
    • Também não pode faltar 1 ano grátis de monitoramento de crédito
      Já recebi esse tipo de oferta tantas vezes que, se eu aderir a todas, vou acabar espalhando meus dados pessoais em dobro para lugares que também podem ser hackeados
    • Ver mais um vazamento desses me fez olhar de novo para local-first software, e lembrei de https://lofi.so
      Para reduzir vazamentos em grande escala, acho que é preciso quebrar essa lógica arquitetural de por que precisamos de repositórios de dados centralizados tão gigantescos
      Mesmo que o governo precise ter autoridade central, dá para pensar em formas de armazenamento que reduzam o raio do dano
      Claro que haverá muitos contra-argumentos dizendo que isso não dá certo, mas se a alternativa dominante hoje é só desespero e impotência, então o avanço talvez tenha que vir de inovações periféricas
    • Nem isso? Nem monitoramento de crédito grátis por um ano?

  • Hoje recebi um e-mail dizendo que fui afetado
    Ironicamente, os mesmos dados já tinham vazado uma vez anos atrás no órgão de seguro-desemprego, então para mim não mudou nada
    Depois de arrumar um novo emprego, fui idiota de não ter apagado aquela conta

    • Seria bom ter uma cópia do e-mail para fins de registro
      Assim também entra nos datasets da Anthropic e da OpenAI :)
    • Queria saber se foi da ANTS
      Eu ainda não recebi nada

  • É absurdo continuarem empurrando uma identidade centralizada para a internet numa situação dessas
    Estão só criando um enorme honeypot para grupos de hackers do mundo todo e empresas de IA, e na prática vaza dado quase a cada dois meses

  • Se o governo trata meus dados pessoais como algo sem valor, eu também não pretendo tratar obras protegidas por direitos autorais como se tivessem valor
    Se vão construir uma sociedade da informação, não podem deixar de fora o grupo mais importante

    • Enfrentar o governo de peito aberto, por princípio, na prática provavelmente é uma luta perdida
      Mesmo que mudança seja necessária, deve haver um jeito melhor de fazer isso

  • Parece que já passamos da fase de se preocupar com ransomware ou proteção de dados
    O melhor é presumir que a PII de todo mundo já foi comprometida e focar mais em como verificar identidade online em coisas como benefícios do governo
    Isso me faz pensar nos IDs digitais nacionais da Holanda ou do Japão, ou na autenticação biométrica da Índia, e fico curioso sobre o que os EUA vão acabar adotando

    • Biometria é quase uma das piores ideias possíveis, porque só adiciona mais um tipo de dado que pode vazar
      Também pode ser abusada em coisas como rastreamento por câmera, então é muito mais sensível, e esse problema já podia ter sido resolvido há muito tempo com IdP federado e MFA
      Basta combinar algo que você tem, como dispositivo OTP ou token físico, com algo que você sabe, como SSN, número fiscal ou senha; mas os governos em geral parecem preferir biometria porque querem o oposto da privacidade do cidadão
    • Na Suécia, quase toda informação é pública por padrão
      Só com o nome já é fácil achar o endereço da pessoa, e dá para ver data de nascimento, com quem mora, número do apartamento, se tem carro, cachorro, contrato de celular etc.
      Pagando uma pequena taxa, dá até para puxar registros de renda
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      E, somehow, ainda funciona
    • Pelo jeito das coisas, a solução ao estilo americano vai acabar exigindo escaneamento de retina
      Você vai querer comprar uma calça online na Target e ter que escanear; depois essa informação vai parar na dark web junto com sua impressão vocal e o scan da sua carteira de motorista
    • A Holanda tem uma identidade única usada em todos os serviços oficiais do governo
      Na prática é uma estrutura de username/password + MFA emitida pelo governo, e também é possível verificar a identidade escaneando o chip NFC do passaporte com o smartphone
      Só não vejo muito bem como isso resolve o problema de vazamento de dados
    • A França já tem vários meios de verificação de identidade online
      O France Connect SSO é uma espécie de SSO federado; eles podem enviar pelo correio um código para confirmar endereço e identidade, pedir verificação presencial nos Correios, ou, se você tiver só uma conta fisicamente verificada — como a da Receita ou da seguridade social — já consegue entrar em outros serviços do governo
      Separadamente, também foi proposto um app que lê o chip NFC do documento físico e autentica comparando biometria com uma selfie

  • É especialmente irônico que, sempre que eu preciso criar ou alterar um documento — como adicionar uma nova observação na carteira de motorista —, exigem todas as cópias imagináveis de documentos de identidade, e no fim mesmo assim vazam todos os meus dados
    Dá a impressão de que eles já tinham tudo isso desde o início

    • Para verificar a identidade, no fim das contas é preciso apresentar documento e consultar o sistema
      Então esse procedimento em si não parece estranho, e não entendo muito bem a crítica do comentário original

  • 19 milhões de franceses? Eu estou no meio

  • A burocracia à moda antiga tinha suas vantagens
    Era muito mais difícil causar vazamentos gigantes como esse e, mesmo quando aconteciam, o valor dos dados era muito menor
    Aquele sistema também sustentava a participação democrática, com pessoas trabalhando para garantir o cumprimento de procedimentos e evitar fraudes
    Como sempre soubemos que esses sistemas acabariam sendo comprometidos, agora é preciso projetá-los partindo do princípio de "o que fazer para proteger as pessoas e as instituições quando isso acontecer"
    Seja por conveniência, vigilância ou autoritarismo, se vamos continuar nesse caminho, então precisamos nos preparar de verdade para os cenários pós-invasão

  • Também é curiosamente interessante que isso tenha acontecido logo depois de se gabar que seria fácil migrar os sistemas para Microsoft e empresas americanas
    Talvez o ano que vem seja mesmo o ano do Linux desktop

  • Fico pensando se não haveria algum jeito de misturar uma grande quantidade de ruído para tornar esses dados inúteis
    Será que LLM ajudaria nisso?

    • Se a pergunta é séria, a resposta é não
      O banco de dados original e autoritativo já foi comprometido, então o atacante sabe qual é o conjunto de dados verdadeiro e pode simplesmente ignorar qualquer ruído misturado de fora