Fransız devlet kurumu, hacker veri satışı teklif ederken ihlali doğruladı

 (bleepingcomputer.com)
1 puan yazan GN⁺ 6 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Fransa'nın kimlik ve kayıt belgelerini yöneten ANTS portalında bir güvenlik olayı tespit edildi ve kişisel ile profesyonel hesap verileri açığa çıkmış olabilir
  • Açığa çıktığı doğrulanan bilgiler arasında giriş kimliği, ad soyad, e-posta, doğum tarihi ve benzersiz hesap tanımlayıcısı yer alırken, bazı kullanıcılar için adres, doğum yeri ve telefon numarası da dahil olabilir
  • Kurum, yalnızca bu bilgilerle portala yetkisiz erişimin mümkün olmadığını söyledi; ancak bunlar phishing ve sosyal mühendislik saldırılarında kullanılabileceğinden SMS, telefon ve e-posta üzerinden gelen şüpheli iletişimlere karşı dikkatli olunması gerekiyor
  • 24 Nisan'da yayımlanan güncellemede etkilenen hesap sayısının 11,7 milyon olduğu doğrulandı ve etkilendiği belirlenen kişilere bildirim süreci devam ediyor
  • Hacker forumlarında breach3d, saldırının sorumluluğunu üstlenerek en fazla 19 milyon kaydı satışa çıkardığını iddia etti; ancak haberin yazıldığı sırada veriler geniş çapta sızdırılmış değildi

İhlalin doğrulanması ve etki kapsamı

  • France Titres, yani ANTS, ants.gouv.fr portalında bir güvenlik olayı tespit ettiğini ve kişisel ile profesyonel hesap verilerinin açığa çıkmış olabileceğini açıkladı
    • Kurum, Fransa'daki resmî kimlik ve kayıt belgelerini yönetiyor; sürücü belgeleri, ulusal kimlik kartları, pasaportlar ve göçmenlik belgeleriyle ilgileniyor
    • Saldırı geçen hafta gerçekleşti, soruşturma sürüyor ve etkilenen kişi sayısı açıklanmadı
  • ANTS, olayı 15 Nisan 2026 Çarşamba günü tespit ettiğini duyurdu ve etkilenmiş olduğu doğrulanan kişilere bildirim sürecini yürütüyor
    • ANTS duyurusu üzerinden olay ve dikkat uyarısı görülebilir
  • 24 Nisan'da yayımlanan güncellemede etkilenen hesap sayısının 11,7 milyon olduğu doğrulandı

Açığa çıkmış olabilecek veriler

  • ANTS, çeşitli türlerde hesap bilgilerinin açığa çıkmış olabileceğini belirtti
    • Giriş kimliği
    • Ad soyad
    • E-posta adresi
    • Doğum tarihi
    • Benzersiz hesap tanımlayıcısı
  • Bazı kullanıcılar için ek kişisel tanımlayıcı bilgiler de dahil olabilir
    • Posta adresi
    • Doğum yeri
    • Telefon numarası
  • Kurum, yalnızca bu bilgilerle ANTS elektronik portalına yetkisiz erişim sağlanamayacağını belirtti
    • Ancak aynı bilgiler phishing ve sosyal mühendislik saldırılarında kötüye kullanılabileceği için dikkat gerekiyor

Kullanıcılara yönelik bilgilendirme ve müdahale

  • ANTS, kullanıcılardan ek bir işlem istemezken, kurumu taklit eden şüpheli mesajlara veya olağandışı iletişimlere karşı özellikle dikkatli olunmasını istedi
    • Dikkat edilmesi gereken kanallar arasında SMS, telefon ve e-posta yer alıyor
  • Müdahale sürecinde CNIL, Paris kamu savcılığı ve ulusal siber güvenlik kurumu ANSSI bilgilendirildi
    • Verilerin satılması veya yayılmasının yasa dışı olduğu da ayrıca vurgulandı

Hacker'ın satış iddiası

  • 16 Nisan'da bir hacker forumunda breach3d adlı tehdit aktörü, ANTS saldırısını gerçekleştirdiğini iddia ederek elinde en fazla 19 milyon kayıt bulunduğunu yazdı
  • Söz konusu tehdit aktörü, çalınan veriler arasında ad soyad, iletişim bilgileri, doğum verileri, ev adresleri, hesap meta verileri, cinsiyet ve medeni durum bulunduğunu öne sürdü
  • Veriler, açıklanmayan bir bedelle satış ilanına konuldu; bu nedenle haberin yayımlandığı sırada geniş çapta sızdırılmış durumda değildi
  • BleepingComputer bu iddiayla ilgili olarak ANTS'ye ulaştı, ancak haberin yayımlandığı ana kadar yanıt alamadı

İlgili okumalar

1 yorum

 
GN⁺ 6 일 전
Hacker News görüşleri

  • Sızdırılan bilgiler sadece isim, doğum tarihi, adres ve telefon numarası düzeyindeyse artık bu yeni bile sayılmaz
    Son 2-3 yılda benim bilgilerim de zaten defalarca sızdı; şirketlerin ya da kurumların aldığı ceza bir özür e-postasından ibaret olduğu sürece bu durum asla değişmez

    • En başta devlet, her önemsiz işlem için KYC dayatmamalı
      Muz almak ya da yemek siparişi vermek için bile neden kimlik doğrulaması gerektiğini anlamıyorum; sızıntı kaçınılmaz olduğuna göre KYC’nin kendisi daha büyük bir yasa dışı uygulama gibi görünüyor
      Gerekçe başta dolandırıcılığı ve kara para aklamayı önlemekti ama pratikte bunu da pek engellemedi; "largest money laundering settlements" diye aratırsanız büyük bankalarla kripto dolandırıcılıkları olduğu gibi çıkıyor
    • Devlet kurumlarına para cezası pek işlemiyor
      Sonuçta yine vergilerimizden ödeniyor ve hiçbir teşvik yaratmıyor; onun yerine diğer kurumlar, hastaneler, bankalar, altyapı kuruluşları ve büyük şirketlere karşı agresif şekilde pentest yapan özel bir devlet kurumu kurulmalı ve özel sektör seviyesinde maaş verilmeli
      Sorunların düzeltilmesi için yasal süre sınırı zorunlu olmalı; özel sektöre para cezası, kamuya ise infosec sorumlusunun rütbesinin düşürülmesi gibi gerçek yaptırımlar uygulanmalı
      Compliance checklist ya da KPMG tarzı denetimlerdense, devlet destekli hackerların gerçek saldırganlar gibi içeri sızmayı denemesi çok daha iyi olur
      Fransa’da son 1 yılda farklı seviyelerde devlet kurumlarına yönelik hack vakası çok fazla oldu; bu yüzden daha da acil
    • 1 yıl ücretsiz kredi izleme de unutulmamalı
      Bu tür teklifleri o kadar çok aldım ki hepsine kaydolursam, tam tersine hacklenmeye aday yerlere kişisel verilerimi iki kat daha fazla yaymış olacağım gibi geliyor
    • Bu tür sızıntıları tekrar görünce local-first software fikrine yeniden dönüp baktım; https://lofi.so da aklıma geldi
      Büyük çaplı sızıntıları azaltmak için önce neden bu kadar dev merkezi veri depolarına ihtiyaç duyduğumuzu mimari düzeyde sorgulamak gerekiyor bence
      Devletin merkezi bir yetkiye sahip olması gerekse bile, hasar alanını küçülten veri saklama yöntemleri düşünülebilir
      Elbette bunun mümkün olmadığını söyleyen çok olur ama mevcut ana akım alternatif sadece umutsuzluk ve çaresizlikse, ilerleme en azından kenardaki yeniliklerden gelebilir
    • Bir ayı bırak, ücretsiz kredi izleme bile verilmiyor mu acaba

  • Bugün etkilendiğime dair e-posta aldım
    İronik olan şu ki birkaç yıl önce işsizlik yardımı kurumu aynı verileri zaten bir kez daha sızdırmıştı; benim açımdan değişen hiçbir şey yok
    Yeni iş bulduktan sonra o hesabı silmemiş olmam aptallıkmış

    • Kayıt için e-postanın bir kopyasını tutmak iyi olabilir
      Böylece Anthropic ve OpenAI veri setlerine de girmiş olur :)
    • Bunun ANTS’den gelip gelmediğini merak ediyorum
      Bana hâlâ hiçbir şey ulaşmadı

  • Durum buyken internet için merkezi kimlik dayatmasını sürdürmeleri akıl alır gibi değil
    Bu, dünya çapındaki hacker grupları ve yapay zeka şirketleri için dev bir honeypot yaratmaktan başka bir şey değil; üstelik gerçekte neredeyse her iki ayda bir yeni bir sızıntı patlıyor

  • Devlet benim kişisel verilerime değersizmiş gibi davranıyorsa, ben de telifli içeriklere değerliymiş gibi davranmak zorunda hissetmiyorum
    Bir bilgi toplumu kuracaksan, en önemli topluluğu bunun dışında bırakamazsın

    • İlke gereği devletle doğrudan karşı karşıya gelmek pratikte neredeyse kesin kaybedilecek bir savaş olabilir
      Değişim gerekiyorsa bile, bundan daha iyi bir yol mutlaka vardır diye düşünüyorum

  • Artık ransomware ya da veri korumasını dert etme aşamasını geçmişiz gibi geliyor
    Herkesin PII’sinin zaten ele geçirildiğini varsayıp, devlet yardımları gibi alanlarda kimliğin çevrimiçi nasıl doğrulanacağına daha çok odaklanmak gerekiyor
    Hollanda ya da Japonya’daki ulusal dijital kimlikler, Hindistan’daki biyometrik doğrulama gibi örnekler akla geliyor; ABD’nin sonunda neyi seçeceğini merak ediyorum

    • Biyometrik veriler, sızabilecek bir kalem daha eklemekten ibaret; neredeyse mümkün olan en kötü fikir
      Kamera takibi gibi amaçlarla da kötüye kullanılabildiği için çok daha hassas ve bu sorun aslında yıllar önce federated IdP ve MFA ile çözülebilirdi
      OTP cihazı ya da fiziksel token gibi sahip olduğunuz bir şey ile SSN, vergi numarası ya da parola gibi bildiğiniz bir şeyi birleştirmek yeterli; ama devletler genelde vatandaş mahremiyetinin tam tersini istediği için biyometriyi tercih ediyor gibi görünüyor
    • İsveç’te neredeyse tüm bilgiler varsayılan olarak açık
      Sadece birinin adını bilerek ev adresini kolayca bulabiliyorsunuz; doğum tarihi, kiminle yaşadığı, binada hangi dairede olduğu, araba, köpek ya da cep telefonu aboneliği olup olmadığı bile görülebiliyor
      Küçük bir ücret ödeyerek gelir kayıtlarına da bakabiliyorsunuz
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      Yine de somehow işler bir şekilde yürüyor
    • Gidişata bakınca Amerikan usulü çözümün sonunda retina taraması istemeye varacağına inanıyorum
      Target’tan internetten bir pantolon almak için bile tarama yaptırman gerekecek ve o veri de ses biyometrinle, ehliyet taramanla birlikte dark web’e düşecek
    • Hollanda’da tüm resmi devlet hizmetlerinde kullanılan tek bir kimlik var
      Pratikte devlet tarafından verilmiş bir username/password + MFA yapısı gibi ve pasaporttaki NFC çipini akıllı telefonla taratarak kimliği doğrulamak da mümkün
      Ama bunun veri sızıntısı sorununu nasıl çözdüğünü ben de pek bilmiyorum
    • Fransa’da çevrimiçi kimlik doğrulama için zaten birden fazla araç var
      France Connect SSO, bir tür federated SSO; ayrıca posta yoluyla adrese ve kimliğe özel doğrulama kodu gönderme, postanede bizzat doğrulama yaptırma ya da vergi/sosyal güvenlik hesabı gibi fiziksel olarak doğrulanmış tek bir hesaba sahip olup onunla diğer devlet hizmetlerine giriş yapma seçenekleri var
      Bunun dışında fiziksel kimlik kartının NFC çipini okuyup biyometrik verilerle selfie’yi karşılaştırarak doğrulama yapan bir uygulama da önerildi

  • Ehliyete yeni bir ibare eklemek gibi belge oluşturma ya da değiştirme işlemlerinin her birinde akla gelebilecek her türlü kimlik belgesi kopyasını istediler; sonra dönüp bütün verilerimi sızdırdıklarını söylemeleri özellikle ironik
    Sonuçta bunların hepsi zaten kendi ellerindeydi diye düşünüyorsun

    • Kimliği doğrulamak için eninde sonunda kimlik ibrazı ve sistem sorgulaması gerekir
      O yüzden prosedürün kendisi tuhaf değil; asıl yorumdaki sorun tespitini pek anlayamadım

  • 19 milyon Fransız ha, ben de içindeyim

  • Eski usul bürokrasinin bazı avantajları vardı
    Bu kadar büyük sızıntılar çıkarmak çok daha zordu; çıksa bile değeri çok daha düşük olurdu
    O sistemde usule uyulmasını ve suistimalin önlenmesini sağlayan insanlar, demokratik katılımı da ayakta tutuyordu
    Bu tür sistemlerin sonunda kırılacağını zaten bildiğimize göre artık "sızıntı olduğunda insanları ve kurumları nasıl koruruz" varsayımıyla tasarlamamız gerekiyor
    İster kolaylık, ister gözetim, ister otoriterlik nedeniyle olsun bu yolda ilerlemeye devam edeceksek, ihlâl sonrası senaryolara gerçekten hazırlıklı olmamız lazım

  • Bunun, Microsoft ve ABD’li şirketlerden sistemleri kolayca taşıyabildiklerini övünerek anlattıktan hemen sonra yaşanması da ilginç bir ironi
    Belki de gelecek yıl gerçekten Linux desktop yılı olur

  • Bu verileri işe yaramaz hâle getirecek kadar büyük ölçekte gürültü katmanın bir yolu yok mu diye merak ediyorum
    LLM bunun için işe yarar mı acaba

    • Eğer soru ciddi ise cevap hayır
      Yetkili kaynak olan orijinal veritabanı zaten sızdırılmış durumda; yani saldırgan gerçek veri kümesinin hangisi olduğunu biliyor, dışarıdan eklenen gürültüyü de kolayca görmezden gelebilir