I mars 2024 drabbades France Travail, den franska statliga arbetsförmedlingen. Angriparna använde inte avancerad teknologi – de använde social manipulation. De utgav sig för att vara legitima samarbetspartners, fick anställda att hjälpa dem vidare och tog sig in i systemen utan att bryta något tekniskt.
När de var inne hittade de något som gjorde skadan mycket större än den behövde vara — behörigheterna var definert for bredt. CAP EMPLOI-rådgivere, som samarbeidet med France Travail om att följa upp arbetssökande, hade systemåtkomst till data om alla registrerade användare. Inte bara de dem faktiskt följde upp. Personnummer, e-postadresser, telefonnummer och postadresser för alla dem som hade varit registrerade de senaste 20 åren. 43 miljoner människor.
Frankrikes dataskyddsmyndighet CNIL hittade två konkreta svagheter — inloggningsrutinerna var inte tillräckligt robusta och åtkomsträttigheterna var för breda. Boten blev 5 miljoner euro.
Praktisk poäng: Gå igenom vem i verksamheten som har tillgång till vad. Ingen bör ha mer tillgång än vad som är nödvändigt för arbetet. Extern konsult behöver inte se all kundinformation. Inte alla chefer behöver insyn i alla anställdas personalmappar.
Inspirerad av: CNIL