I mars 2024 ble France Travail, den franske statlige arbeidsformidlingen, rammet. Angriperne brukte ikke avansert teknologi — de brukte sosial manipulering. De ga seg ut for å være legitime samarbeidspartnere, fikk ansatte til å hjelpe dem videre, og kom seg inn i systemene uten å bryte noe teknisk.
Da de var inne, fant de noe som gjorde skaden langt større enn den trengte å være — tilgangsrettighetene var definert for bredt. CAP EMPLOI-rådgivere, som samarbeidet med France Travail om å følge opp arbeidssøkere, hadde systemtilgang til data om alle registrerte brukere. Ikke bare de de faktisk fulgte opp. Personnumre, e-poster, telefonnumre og postadresser for alle som hadde vært registrert de siste 20 årene. 43 millioner mennesker.
Det franske datatilsynet CNIL fant to konkrete svakheter — innloggingsrutinene var ikke robuste nok, og tilgangsrettighetene var for brede. Boten ble 5 millioner euro.
Praktisk poeng: Gå gjennom hvem i virksomheten som har tilgang til hva. Ingen bør ha mer tilgang enn det som er nødvendig for jobben. Ekstern konsulent trenger ikke se all kundeinformasjon. Ikke alle ledere trenger innsyn i alle ansatters personalmapper.
Inspirert av: CNIL