法国社会保险费及家庭补助金征收联合机构(URSSAF)本周一拉响警报。该机构一个存储招聘预申报(DPAE)数据的接口遭欺诈性访问,可能导致近1200万近三年内入职的法国员工个人信息泄露,并面临随之激增的精准网络钓鱼攻击风险。
根据URSSAF发布的公告,此次入侵并非直接攻击其核心系统,而是通过一个授权合作伙伴的被盗账户实现的。攻击者利用该账户的合法权限,非法访问了专为机构合作伙伴设置的API数据接口。
泄露了什么,没泄露什么?
- 可能泄露的信息:涉及约1200万员工的姓名、出生日期、雇主公司识别码(Siret)以及入职日期。
- 未涉及的核心敏感信息:URSSAF特别澄清,社会保障号、家庭住址、电子邮箱、电话号码及银行账户信息未存储于该接口,因此未在此次事件中暴露。
尽管如此,网络安全专家警告,已泄露的“姓名-雇主-入职日期”组合,足以让诈骗分子编织极具针对性的钓鱼话术。他们可能冒充雇主人事部门或URSSAF本身,向特定公司的员工发送诈骗邮件或短信,诱骗更多敏感信息。
事件溯源与应对
初步调查指向一次“供应链攻击”:网络犯罪分子首先入侵了URSSAF的某个合作伙伴,窃取其账户凭证,继而利用这些凭证“合法”访问了敏感数据。URSSAF表示,在发现漏洞后已立即暂停了该受损账户的所有访问权限,并就此向司法机关正式提起申诉。
值得关注的是,这是URSSAF体系在短期内第二次曝出重大数据安全事件。就在去年11月中旬,其旗下的Pajemploi(家庭雇工薪酬申报平台)刚发生过数据失窃,约120万家政服务员工的信息受到影响。接连发生的安全漏洞引发了公众对法国大型公共服务机构数据保护能力的担忧。
