De Franse uitkeringsinstanties France Travail en Cap Emploi zijn het slachtoffer geworden van een cyberaanval. Hackers hebben daarbij de hand weten te leggen op de privégegevens van 43 miljoen werkzoekenden. De organisaties vragen gedupeerden om alert te zijn voor phishing en online fraude.
Werkzoekenden die in de afgelopen twintig jaar een beroep hebben gedaan op de uitkeringsinstanties, momenteel solliciteren of hun cv online hebben achtergelaten, zijn de dupe van de cyberaanval. Digitaal forensisch onderzoek wijst uit dat de aanvallers persoonlijke gegevens hebben gemaakt. Het gaat om onder meer voor- en achternamen, burgerservicenummers, geboortedata, e-mailadressen, telefoonnummers en identificatienummers van France Travail. Bij de aanval zijn geen wachtwoorden of financiële gegevens buitgemaakt.
“Hoewel dit incident geen risico vormt voor schadevergoeding of voor de toegang tot de persoonlijke omgeving op francetravail.fr, willen we u toch vragen om waakzaam te blijven met betrekking tot elke vorm van benadering of voorstel dat frauduleus zou kunnen lijken”, zo waarschuwt France Travail. Zoals Europese wetgeving voorschrijft heeft de uitkeringsinstantie het datalek gemeld bij de toezichthouder, de Commission Nationale de l’Informatique et des Libertés (CNIL).
De cybercrime-unit van de Franse politie en het parket van Parijs hebben een onderzoek ingesteld naar de toedracht. Meer details over de cyberaanval willen de uitkeringsinstanties op dit moment niet delen.
CNIL vertelt op haar websites iets meer over de gebeurtenissen. De privacywaakhond zegt dat France Travail en Cap Emploi op vrijdag 8 maart melding hebben gemaakt van het voorval. Daarbij zijn mogelijk de persoonlijke gegevens van 43 miljoen werkzoekenden gestolen. Gedupeerden worden de komende dagen ingelicht door de organisaties.
De toezichthouder raadt betrokkenen aan om alert te zijn voor phishing en andere pogingen om persoonlijke gegevens van hun te ontfutselen. “Deel geen wachtwoorden of bankgegevens via de e-mail”, zo schrijft CNIL. Ook adviseert de privacywaakhond om niet op URL’s te klikken of bijlages te openen als je het niet vertrouwt. In plaats daarvan is het beter om rechtstreeks naar de betreffende website te gaan en in te loggen.
Tot slot geeft CNIL betrokkenen het advies om hun online activiteiten regelmatig te controleren en sterke wachtwoorden te gebruiken. Wie moeite heeft om deze te verzinnen en te onthouden, kan het beste een wachtwoordmanager gebruiken.
CNIL belooft op korte termijn een onderzoek in te stellen. Daarin kijkt ze of de uitkeringsinstanties voorafgaand aan het incident aan hun privacy- en beveiligingsverplichtingen voldeden die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Tevens onderzoekt de toezichthouder of de organisaties op een correcte manier hebben gereageerd op de cyberaanval.