تواجه فرنسا واحدة من أخطر حوادث اختراق البيانات الحكومية في تاريخها. فقد تعرضت الوكالة الوطنية للوثائق الرسمية المؤمنة (ANTS)، المعروفة أيضاً باسم فرانس تيتر، لهجوم سيبراني ضخم ربما أدى إلى كشف المعلومات الشخصية لنحو 19 مليون مواطن. وأكدت وزارة الداخلية الفرنسية الاختراق في 20 أبريل، موضحة أن الهجوم رُصد لأول مرة في 15 أبريل. وتعد الوكالة الجهة المسؤولة عن إدارة بطاقات الهوية وجوازات السفر ورخص القيادة وتسجيل المركبات لجميع المواطنين الفرنسيين.
وفقاً للأرقام الرسمية الصادرة عن وزارة الداخلية، تأكد تأثر نحو 11.7 مليون حساب بهذا الاختراق. غير أن القراصنة المسؤولين عن الهجوم يزعمون أنهم استخرجوا ما بين 18 و19 مليون ملف شخصي للمستخدمين، وهو رقم يتجاوز بشكل كبير تقديرات الحكومة. ويُقال إن البيانات المسروقة معروضة بالفعل للبيع في أسواق إلكترونية سرية، مما يثير مخاوف عاجلة بشأن سرقة الهوية والاحتيال على نطاق واسع.
يتسم نوع البيانات المكشوفة بحساسية بالغة. وتشمل المعلومات المسربة الأسماء الكاملة وتواريخ الميلاد وعناوين البريد الإلكتروني ومعرفات تسجيل الدخول والمعرفات الفريدة لحسابات الوكالة. وفي بعض الحالات، تمكن المهاجمون أيضاً من الوصول إلى العناوين البريدية وأماكن الولادة وأرقام الهواتف. ويوفر هذا المزيج من التفاصيل الشخصية ملفاً شاملاً يمكن استغلاله في حملات التصيد الاحتيالي وانتحال الهوية وغيرها من الأنشطة الإجرامية.
ولعل الجانب الأكثر إثارة للقلق هو طبيعة الثغرة التي تم استغلالها. فقد حصل المهاجمون على حق الوصول من خلال ثغرة من نوع IDOR، وهي واحدة من أبسط فئات الثغرات الأمنية وأكثرها شهرة في عالم أمن المعلومات. يسمح هذا النوع من الثغرات للمهاجم بالوصول إلى بيانات مستخدم آخر بمجرد تعديل رقم في عنوان الموقع أو طلب واجهة برمجة التطبيقات. وببساطة، لم تكن خوادم الوكالة تجري أي فحوصات تفويض مناسبة، مما يعني أن أي مستخدم مصادق عليه كان بإمكانه الاطلاع بحرية على البيانات الخاصة لملايين الأشخاص الآخرين.
تم إخطار الهيئة الفرنسية لحماية البيانات (CNIL) رسمياً بالاختراق وفقاً لمتطلبات اللائحة العامة لحماية البيانات. كما فتحت النيابة العامة في باريس تحقيقاً في الحادثة. وبموجب أحكام هذه اللائحة، تواجه المؤسسات التي تفشل في حماية البيانات الشخصية بشكل كافٍ غرامات مالية كبيرة. ويواجه الحكومة الفرنسية الآن تساؤلات جدية حول معايير الأمان المطبقة على بنيتها التحتية الرقمية الأكثر حساسية.
أشار خبراء الأمن السيبراني إلى أن ثغرات IDOR تُدرَّس بشكل روتيني في الدورات التدريبية الأساسية لتطوير الويب وتتصدر قائمة تهديدات OWASP العشرة الأولى. وقد أدى وجود مثل هذا الخلل الجوهري في نظام يدير وثائق هوية عشرات الملايين من المواطنين الفرنسيين إلى مطالبات بإجراء تدقيق شامل لجميع الأنظمة المعلوماتية الحكومية. ويرى المنتقدون أن هذه الحادثة تكشف عن نقص منهجي في الاستثمار في الأمن السيبراني عبر الخدمات العامة الفرنسية.
فيما تتواصل التحقيقات، يُحث المواطنون المتأثرون على توخي أقصى درجات الحذر تجاه محاولات التصيد الاحتيالي والاتصالات المشبوهة. ولا يزال النطاق الكامل للأضرار غير واضح، وقد يستغرق الأمر أسابيع أو أشهراً قبل أن تتمكن السلطات من تقييم التأثير بشكل كامل.
التعليقات