- Cổng ANTS của Pháp, nơi quản lý giấy tờ tùy thân và tài liệu đăng ký, đã phát hiện một sự cố bảo mật và dữ liệu tài khoản cá nhân cũng như tài khoản chuyên môn có thể đã bị lộ
- Thông tin được xác nhận có thể bị lộ bao gồm ID đăng nhập, họ tên, email, ngày sinh và mã định danh tài khoản duy nhất; với một số người dùng, dữ liệu còn có thể gồm địa chỉ, nơi sinh và số điện thoại
- Cơ quan này cho biết chỉ riêng các thông tin đó không cho phép truy cập trái phép vào cổng, nhưng chúng có thể bị lợi dụng cho các cuộc tấn công phishing và kỹ nghệ xã hội, nên người dùng cần cảnh giác với các liên hệ đáng ngờ qua SMS, điện thoại và email
- Trong bản cập nhật công bố ngày 24/4, cơ quan xác nhận số tài khoản bị ảnh hưởng là 11,7 triệu và đang tiến hành quy trình thông báo cho những người được xác định là bị ảnh hưởng
- Trên một diễn đàn hacker, breach3d nhận trách nhiệm về vụ tấn công và đăng bán tới 19 triệu bản ghi, nhưng tại thời điểm bài báo được viết, dữ liệu vẫn chưa bị phát tán rộng rãi
Xác nhận vụ xâm nhập và phạm vi ảnh hưởng
- France Titres, tức ANTS, cho biết đã phát hiện một sự cố bảo mật trên cổng ants.gouv.fr và dữ liệu tài khoản cá nhân cũng như tài khoản chuyên môn có thể đã bị lộ
- Cơ quan này quản lý các giấy tờ tùy thân và tài liệu đăng ký chính thức tại Pháp, bao gồm giấy phép lái xe, thẻ căn cước quốc gia, hộ chiếu và giấy tờ nhập cư
- Cuộc tấn công xảy ra vào tuần trước, cuộc điều tra vẫn đang tiếp tục và số người bị lộ dữ liệu chưa được công bố
- ANTS thông báo rằng họ phát hiện sự cố vào thứ Tư, ngày 15/4/2026, và đang tiến hành quy trình thông báo cho những người được xác định là bị ảnh hưởng
- Trong bản cập nhật công bố ngày 24/4, số tài khoản bị ảnh hưởng được xác nhận là 11,7 triệu
Dữ liệu có thể đã bị lộ
- ANTS cho biết nhiều loại thông tin tài khoản có thể đã bị lộ
- ID đăng nhập
- Họ tên
- Địa chỉ email
- Ngày sinh
- Mã định danh tài khoản duy nhất
- Với một số người dùng, có thể còn bao gồm thêm thông tin nhận dạng cá nhân
- Địa chỉ bưu chính
- Nơi sinh
- Số điện thoại
- Cơ quan này cho biết chỉ riêng những thông tin trên không thể dùng để truy cập trái phép vào cổng điện tử của ANTS
- Tuy vậy, các thông tin này có thể bị lợi dụng cho phishing và các cuộc tấn công kỹ nghệ xã hội, nên người dùng cần thận trọng
Hướng dẫn và ứng phó dành cho người dùng
- ANTS không yêu cầu người dùng thực hiện thêm hành động nào, nhưng nhấn mạnh cần đặc biệt cảnh giác với tin nhắn đáng ngờ hoặc các liên hệ bất thường mạo danh cơ quan
- Các hình thức cần cảnh giác gồm SMS, cuộc gọi điện thoại và email
- Trong quá trình ứng phó, cơ quan đã thông báo cho CNIL, công tố viên công của Paris và cơ quan an ninh mạng quốc gia ANSSI
- Cơ quan cũng cảnh báo rằng việc bán hoặc phát tán dữ liệu là hành vi bất hợp pháp
Tuyên bố rao bán của tin tặc
- Ngày 16/4, trên một diễn đàn hacker, tác nhân đe dọa có tên breach3d tuyên bố đã tấn công ANTS và nói rằng họ nắm giữ tới 19 triệu bản ghi
- Tác nhân này khẳng định dữ liệu bị đánh cắp bao gồm họ tên, thông tin liên hệ, dữ liệu sinh, địa chỉ nhà, metadata tài khoản, giới tính và tình trạng hôn nhân
- Dữ liệu được đăng bán với mức giá không được công khai, nên tại thời điểm bài báo được xuất bản, dữ liệu chưa bị phát tán rộng rãi
- BleepingComputer đã liên hệ ANTS để hỏi về tuyên bố này, nhưng chưa nhận được phản hồi tính đến thời điểm bài viết được đăng
1 bình luận
Ý kiến trên Hacker News
Nếu thông tin bị lộ chỉ ở mức tên, ngày sinh, địa chỉ, số điện thoại thì giờ cũng chẳng còn mới mẻ gì nữa
Trong 2~3 năm qua, dữ liệu của tôi cũng đã bị rò rỉ nhiều lần rồi, và nếu hình phạt mà doanh nghiệp hay cơ quan phải chịu chỉ là một email xin lỗi thì chuyện này sẽ chẳng bao giờ thay đổi
Tôi không hiểu vì sao đến cả mua chuối hay gọi giao hàng cũng phải xác minh danh tính, và khi rò rỉ là điều tất yếu thì bản thân KYC trông còn giống một hành vi phi pháp nghiêm trọng hơn
Ban đầu danh nghĩa là để chống gian lận và rửa tiền, nhưng trên thực tế cũng chẳng ngăn được bao nhiêu; chỉ cần tìm "largest money laundering settlements" là sẽ thấy các ngân hàng lớn và lừa đảo crypto vẫn xuất hiện đầy đủ
Cuối cùng vẫn là tiền thuế phải trả, nên cũng không tạo ra động lực gì; thà lập một cơ quan chính phủ chuyên trách tấn công pentest một cách quyết liệt vào các cơ quan khác, bệnh viện, ngân hàng, hạ tầng và các tập đoàn lớn, rồi trả lương ngang mặt bằng tư nhân còn hơn
Cần áp thời hạn pháp lý bắt buộc để sửa lỗi; khu vực tư thì phạt tiền, khu vực công thì phải có chế tài thực chất như giáng chức người phụ trách infosec
So với checklist compliance hay kiểu kiểm toán của KPMG, việc có các hacker được nhà nước hỗ trợ thử xâm nhập như kẻ tấn công thật sẽ hiệu quả hơn rất nhiều
Nước Pháp trong 1 năm qua đã bị hack ở nhiều cấp độ quá nhiều, nên điều này lại càng cấp thiết
Tôi nhận quá nhiều đề nghị kiểu này đến mức nếu đăng ký hết thì có khi lại rải gấp đôi dữ liệu cá nhân của mình cho những nơi xứng đáng bị hack
Nếu muốn giảm các vụ lộ dữ liệu quy mô lớn thì cuối cùng phải phá bỏ ở cấp kiến trúc câu hỏi vì sao lại cần những kho dữ liệu tập trung khổng lồ như vậy
Dù chính phủ vẫn cần có thẩm quyền tập trung, ta vẫn có thể suy nghĩ về cách lưu trữ để giảm bán kính thiệt hại
Tất nhiên sẽ có nhiều phản biện rằng điều đó không khả thi, nhưng nếu phương án chủ đạo hiện nay chỉ là tuyệt vọng và bất lực thì tiến bộ có lẽ phải đến từ những đổi mới ở bên lề
Hôm nay tôi nhận được email nói rằng mình bị ảnh hưởng
Trớ trêu là vài năm trước cơ quan trợ cấp thất nghiệp cũng đã làm lộ đúng bộ dữ liệu này một lần rồi, nên với tôi thì chẳng có gì thay đổi
Có lẽ tôi mới là kẻ ngốc vì sau khi tìm được việc mới vẫn không xóa tài khoản đó đi
Như vậy nó cũng sẽ vào dataset của Anthropic với OpenAI thôi :)
Tôi vẫn chưa nhận được gì cả
Trong tình cảnh này mà vẫn tiếp tục thúc đẩy ID tập trung cho Internet thì thật khó tin
Chẳng khác nào tạo ra một honeypot khổng lồ cho các nhóm hacker toàn cầu và các công ty AI, trong khi thực tế cứ vài tháng lại nổ ra một vụ rò rỉ
Nếu chính phủ đối xử với dữ liệu cá nhân của tôi như thứ vô giá trị, thì tôi cũng chẳng định đối xử với tác phẩm có bản quyền như thứ có giá trị
Nếu đã xây dựng xã hội thông tin thì không thể bỏ quên nhóm quan trọng nhất
Dù cần thay đổi, có lẽ vẫn sẽ có cách tốt hơn cách đó
Có cảm giác giờ đã qua cái giai đoạn lo về ransomware hay bảo vệ dữ liệu rồi
Nên giả định rằng PII của mọi người đã bị lộ hết, và tập trung hơn vào cách xác minh danh tính trực tuyến cho những thứ như phúc lợi nhà nước
Tôi nghĩ đến các ví dụ như ID số quốc gia ở Hà Lan hay Nhật Bản, hoặc xác thực sinh trắc học ở Ấn Độ, và tự hỏi cuối cùng Mỹ sẽ chọn cách nào
Nó còn có thể bị lạm dụng cho những thứ như theo dõi bằng camera nên nhạy cảm hơn nhiều, và vấn đề này thật ra đã có thể giải quyết từ lâu bằng IdP liên kết và MFA
Chỉ cần kết hợp thứ bạn có như thiết bị OTP hoặc token vật lý với thứ bạn biết như SSN, mã số thuế hay mật khẩu; có vẻ chính phủ nói chung thích sinh trắc học vì họ muốn đi theo hướng ngược với quyền riêng tư của công dân
Chỉ cần biết tên là có thể dễ dàng tìm địa chỉ nhà, ngày sinh, đang sống với ai, ở căn số mấy trong tòa nhà, có xe, chó hay hợp đồng điện thoại di động hay không
Trả một khoản nhỏ còn có thể tra cả hồ sơ thu nhập
https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
Dù vậy bằng cách nào đó mọi thứ vẫn vận hành được
Có khi mua một cái quần online trên Target cũng phải quét, rồi dữ liệu đó sẽ xuất hiện trên dark web cùng với voiceprint và bản quét bằng lái xe của tôi
Về cơ bản đó là cấu trúc username/password + MFA do chính phủ cấp, và cũng có thể xác minh danh tính bằng cách dùng smartphone quét chip NFC trong hộ chiếu
Tuy vậy tôi không rõ việc này giải quyết vấn đề rò rỉ dữ liệu như thế nào
France Connect SSO là một dạng SSO liên kết; có thể gửi thư chứa mã để xác minh địa chỉ và danh tính qua bưu điện hoặc yêu cầu đến trực tiếp xác nhận, hoặc chỉ cần có một tài khoản đã được xác minh vật lý như tài khoản thuế hay an sinh xã hội là có thể đăng nhập vào các dịch vụ nhà nước khác
Ngoài ra còn có đề xuất một ứng dụng đọc chip NFC trên giấy tờ tùy thân vật lý rồi đối chiếu dữ liệu sinh trắc học với ảnh selfie để xác thực
Điều đặc biệt trớ trêu là mỗi lần làm mới hay sửa giấy tờ, như thêm ký hiệu mới vào bằng lái, họ lại đòi đủ mọi bản sao giấy tờ tùy thân có thể tưởng tượng ra, thế mà cuối cùng vẫn làm lộ sạch dữ liệu của tôi
Vốn dĩ họ đã có sẵn hết rồi mới phải
Nên bản thân quy trình đó không có gì lạ, và tôi không thật sự hiểu vấn đề mà bình luận gốc muốn nói tới
19 triệu người Pháp, vậy là tôi cũng nằm trong số đó
Kiểu quan liêu ngày xưa thực ra cũng có những điểm mạnh riêng
Những vụ rò rỉ quy mô lớn như thế này khó xảy ra hơn nhiều, và kể cả có xảy ra thì giá trị của dữ liệu cũng thấp hơn đáng kể
Hệ thống đó còn giúp nâng đỡ sự tham gia dân chủ bằng những con người làm việc để bảo đảm tuân thủ quy trình và ngăn gian lận
Vì ai cũng biết kiểu hệ thống này sớm muộn gì cũng sẽ bị xuyên thủng, nên giờ phải thiết kế với giả định là "khi bị lộ thì sẽ bảo vệ con người và thể chế thế nào"
Nếu vẫn tiếp tục đi theo con đường này, dù là vì tiện lợi, giám sát hay chủ nghĩa độc đoán, thì ít nhất cũng phải chuẩn bị nghiêm túc cho kịch bản sau xâm phạm
Cũng khá thú vị khi chuyện này xảy ra ngay sau khi họ khoe rằng có thể dễ dàng di chuyển hệ thống sang Microsoft và các công ty Mỹ
Biết đâu năm tới lại đúng là năm của Linux desktop
Tôi tự hỏi có cách nào trộn thật nhiều nhiễu vào để loại dữ liệu này trở nên vô dụng không
Cũng tò mò liệu LLM có giúp được việc đó hay không
Cơ sở dữ liệu gốc có thẩm quyền đã bị lộ rồi, nên kẻ tấn công biết đâu là tập dữ liệu thật, còn nhiễu được trộn từ bên ngoài thì cứ bỏ qua là xong