Frans UWV krijgt boete van 5 miljoen euro voor lekken data 37 miljoen mensen

In dit artikel:

De Franse privacytoezichthouder CNIL legt France Travail — de Franse uitvoeringsorganisatie voor werk en sociale dienstverlening — een boete van 5 miljoen euro op omdat op een van haar systemen de persoonsgegevens van ongeveer 37 miljoen mensen zijn gestolen (ongeveer 25 GB aan data). CNIL maakte het datalek begin 2024 bekend en kondigde de boete vandaag aan.

Aanvallers drongen via social engineering het systeem binnen door misbruik te maken van inlogmogelijkheden van Cap emploi-accounts (instellingen die mensen met een beperking bij werk zoeken ondersteunen). Ze wisten een wachtwoordreset te forceren door zich tegenover de it-helpdesk als een Cap emploi-medewerker voor te doen en vervolgens die medewerker weer te benaderen terwijl ze zich als helpdesk voordeden, waarna ze konden inloggen. De gestolen gegevens omvatten namen, burgerservicenummers, adressen, telefoonnummers, e‑mailadressen, regio en andere informatie van mensen die de afgelopen twintig jaar een profiel of cv bij France Travail hadden gezet.

CNIL stelde dat France Travail onvoldoende technische en organisatorische maatregelen had getroffen: zwakke inlogregels (wachtwoorden van slechts acht tekens toegestaan), een hoog aantal toegestane mislukte pogingen (50) voordat een account werd geblokkeerd, geen gebruik van multifactorauthenticatie, onvoldoende logging en te ruime rechten voor Cap emploi-accounts. Omdat France Travail een overheidsinstantie is met een wettelijk vastgesteld budget, is de boete niet afgemeten aan omzet maar binnen een bandbreedte vastgesteld (met een maximum van 10 miljoen euro); het uiteindelijke bedrag van 5 miljoen gaat naar de staatskas.

De zaak benadrukt de noodzaak van basisbeveiliging zoals MFA, sterke wachtwoordregels, minimale toegangsrechten en betere detectie/logging om social‑engineeringaanvallen te bemoeilijken en grootschalige datalekken te voorkomen.