Lembaga pemerintah Prancis mengonfirmasi pelanggaran saat peretas menawarkan penjualan data

 (bleepingcomputer.com)
1 poin oleh GN⁺ 6 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Insiden keamanan terdeteksi di portal ANTS, yang mengelola dokumen identitas dan registrasi di Prancis, dan data akun pribadi maupun profesional mungkin telah terekspos
  • Informasi yang dikonfirmasi terdampak mencakup ID login, nama lengkap, email, tanggal lahir, dan pengenal akun unik; untuk sebagian pengguna juga bisa mencakup alamat, tempat lahir, dan nomor telepon
  • Lembaga tersebut menyatakan bahwa informasi ini saja tidak memungkinkan akses tidak sah ke portal, tetapi dapat disalahgunakan untuk phishing dan serangan rekayasa sosial, sehingga perlu waspada terhadap kontak mencurigakan melalui SMS, telepon, dan email
  • Dalam pembaruan yang dipublikasikan pada 24 April, jumlah akun yang terdampak dikonfirmasi sebanyak 11,7 juta, dan proses pemberitahuan kepada pihak yang dipastikan terdampak juga sedang berlangsung
  • Di forum peretas, breach3d mengklaim serangan tersebut dan menawarkan hingga 19 juta catatan untuk dijual, tetapi pada saat artikel ditulis data belum berada dalam kondisi bocor secara luas

Konfirmasi pelanggaran dan cakupan dampak

  • France Titres, yaitu ANTS, menyatakan telah mendeteksi insiden keamanan di portal ants.gouv.fr dan bahwa data akun pribadi maupun profesional mungkin telah terekspos
    • Lembaga ini mengelola dokumen identitas resmi dan dokumen registrasi di Prancis, termasuk surat izin mengemudi, kartu identitas nasional, paspor, dan dokumen imigrasi
    • Serangan terjadi pekan lalu dan penyelidikan masih berlangsung, sementara jumlah orang yang terekspos belum diungkap
  • ANTS mengumumkan bahwa insiden tersebut terdeteksi pada Rabu, 15 April 2026, dan sedang menjalankan proses pemberitahuan kepada pihak yang dipastikan terdampak
  • Dalam pembaruan yang dipublikasikan pada 24 April, jumlah akun terdampak dikonfirmasi sebanyak 11,7 juta

Data yang mungkin terekspos

  • ANTS menyatakan beberapa jenis informasi akun mungkin telah terekspos
    • ID login
    • Nama lengkap
    • Alamat email
    • Tanggal lahir
    • Pengenal akun unik
  • Untuk sebagian pengguna, informasi identitas pribadi tambahan juga dapat tercakup
    • Alamat pos
    • Tempat lahir
    • Nomor telepon
  • Disebutkan bahwa informasi di atas saja tidak dapat digunakan untuk mengakses portal elektronik ANTS secara tidak sah
    • Namun, informasi yang sama bisa disalahgunakan untuk phishing dan serangan rekayasa sosial, sehingga kewaspadaan tetap diperlukan

Panduan dan respons untuk pengguna

  • ANTS tidak meminta tindakan tambahan dari pengguna, tetapi tetap mengimbau kewaspadaan tinggi terhadap pesan mencurigakan atau kontak tidak wajar yang mengatasnamakan lembaga tersebut
    • Yang perlu diwaspadai mencakup SMS, telepon, dan email
  • Dalam proses penanganan, ANTS telah memberi tahu CNIL, jaksa penuntut umum Paris, dan lembaga keamanan siber nasional ANSSI
    • ANTS juga memperingatkan bahwa penjualan atau penyebaran data adalah tindakan ilegal

Klaim penjualan oleh peretas

  • Pada 16 April, di forum peretas, pelaku ancaman bernama breach3d mengklaim telah menyerang ANTS dan menulis bahwa ia memiliki hingga 19 juta catatan
  • Pelaku ancaman tersebut mengklaim data yang dicuri mencakup nama lengkap, informasi kontak, data kelahiran, alamat rumah, metadata akun, jenis kelamin, dan status perkawinan
  • Data tersebut dipasang untuk dijual dengan harga yang tidak diungkap, sehingga pada saat artikel ditulis belum berada dalam kondisi bocor secara luas
  • BleepingComputer telah meminta tanggapan ANTS terkait klaim ini, tetapi belum menerima jawaban hingga artikel diterbitkan

Bacaan terkait

1 komentar

 
GN⁺ 6 hari lalu
Komentar Hacker News

  • Jika informasi yang bocor hanya sebatas nama, tanggal lahir, alamat, dan nomor telepon, itu sudah bukan hal baru lagi
    Dalam 2~3 tahun terakhir, dataku juga sudah bocor berkali-kali, dan kalau hukuman yang diterima perusahaan atau lembaga cuma satu email permintaan maaf, hal seperti ini tidak akan pernah berubah

    • Sejak awal pemerintah seharusnya tidak memaksakan KYC untuk setiap tindakan sepele
      Aku tidak mengerti kenapa sampai membeli pisang atau memesan antar harus perlu verifikasi identitas, dan karena kebocoran pada akhirnya tak terelakkan, KYC sendiri malah terlihat seperti pelanggaran yang lebih besar
      Awalnya alasannya adalah mencegah penipuan dan pencucian uang, tetapi kenyataannya juga tidak efektif, dan kalau mencari "largest money laundering settlements", yang muncul tetap bank-bank besar dan penipuan kripto
    • Denda tidak terlalu mempan untuk lembaga pemerintah
      Pada akhirnya dibayar dari pajak dan tidak menciptakan insentif, jadi lebih baik ada lembaga pemerintah khusus yang secara agresif melakukan pentest terhadap lembaga lain, rumah sakit, bank, infrastruktur, dan perusahaan besar, dengan gaji setara sektor swasta
      Harus ada tenggat hukum yang memaksa perbaikan masalah, dan sektor swasta dikenai denda, sementara sektor publik diberi sanksi nyata seperti penurunan jabatan penanggung jawab infosec
      Dibanding checklist compliance atau audit ala KPMG, jauh lebih baik jika peretas yang didukung pemerintah benar-benar mencoba menyusup seperti penyerang sungguhan
      Di Prancis, peretasan terhadap pemerintah di berbagai level sudah terlalu sering terjadi selama setahun terakhir, jadi ini makin mendesak
    • Jangan lupa juga pemantauan kredit gratis selama 1 tahun
      Tawaran seperti ini sudah terlalu sering datang, sampai rasanya kalau aku mendaftar semuanya, aku justru akan menyebarkan data pribadiku dua kali lebih banyak lagi ke tempat-tempat yang pantas diretas
    • Melihat kebocoran seperti ini lagi membuatku kembali melirik local-first software, dan teringat https://lofi.so
      Kalau ingin mengurangi kebocoran skala besar, pada akhirnya kita harus membongkar dari level arsitektur kenapa gudang data terpusat raksasa seperti ini harus ada
      Bahkan jika pemerintah tetap harus memiliki otoritas terpusat, masih mungkin memikirkan cara penyimpanan yang mengurangi radius dampak
      Tentu akan banyak yang bilang itu tidak bisa, tetapi kalau alternatif arus utama sekarang cuma keputusasaan dan rasa tak berdaya, kemajuan mungkin justru harus datang dari inovasi pinggiran
    • Bukan cuma sebulan, bahkan pemantauan kredit gratis pun sepertinya tidak didapat?

  • Hari ini aku menerima email bahwa aku terdampak
    Ironisnya, data yang sama sudah pernah bocor sekali beberapa tahun lalu dari lembaga tunjangan pengangguran, jadi dari sudut pandangku tidak ada yang benar-benar berubah
    Setelah mendapat pekerjaan baru, rasanya bodoh juga karena aku tidak menghapus akun itu

    • Untuk dokumentasi, ada baiknya menyimpan salinan emailnya
      Biar nanti masuk juga ke dataset Anthropic dan OpenAI :)
    • Penasaran apakah ini datang dari ANTS
      Aku belum menerima apa pun

  • Di situasi seperti ini, tetap mendorong ID terpusat untuk internet itu absurd
    Itu cuma membuat honeypot raksasa untuk kelompok peretas di seluruh dunia dan perusahaan AI, dan kenyataannya kebocoran benar-benar terjadi hampir tiap dua bulan

  • Kalau pemerintah memperlakukan data pribadiku sebagai sesuatu yang tak bernilai, aku juga tidak berniat memperlakukan karya berhak cipta sebagai sesuatu yang bernilai
    Kalau mau membangun masyarakat informasi, kelompok yang paling penting justru tidak boleh ditinggalkan

    • Secara prinsip, berhadapan langsung dengan pemerintah kemungkinan besar tetap pertempuran yang kalah dalam praktiknya
      Meski perubahan memang perlu, rasanya ada cara yang lebih baik daripada itu

  • Rasanya kita sudah melewati tahap mengkhawatirkan ransomware atau perlindungan data
    Anggap saja PII semua orang sudah bocor, dan fokusnya seharusnya lebih ke bagaimana memverifikasi identitas secara online untuk hal-hal seperti tunjangan pemerintah
    Aku jadi teringat contoh seperti ID digital nasional di Belanda atau Jepang, serta autentikasi biometrik di India, dan penasaran apa yang akhirnya akan dipilih AS

    • Data biometrik itu nyaris ide terburuk karena cuma menambah satu jenis data lagi yang bisa bocor
      Itu juga bisa disalahgunakan untuk hal seperti pelacakan kamera, jadi jauh lebih sensitif, dan masalah ini sebenarnya sudah lama bisa diselesaikan dengan IdP terfederasi dan MFA
      Cukup gabungkan sesuatu yang dimiliki seperti perangkat OTP atau token fisik, dengan sesuatu yang diketahui seperti SSN, nomor pajak, atau kata sandi, tetapi pemerintah pada umumnya tampaknya lebih suka biometrik karena arahnya memang berlawanan dengan privasi warga
    • Di Swedia, hampir semua informasi pada dasarnya terbuka untuk umum
      Kalau tahu namanya saja, alamat rumah bisa dicari dengan mudah, lalu tanggal lahir, tinggal dengan siapa, nomor unit bangunan, apakah punya mobil, anjing, atau kontrak ponsel juga terlihat
      Dengan membayar sedikit, catatan penghasilan pun bisa dilihat
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      Tapi entah bagaimana sistemnya tetap berjalan
    • Melihat arah keadaan sekarang, rasanya solusi ala Amerika pada akhirnya akan menuju ke kewajiban pemindaian retina
      Bahkan untuk membeli satu celana di Target secara online pun harus dipindai, lalu datanya akan muncul di dark web bersama sidik suara dan hasil scan SIM-ku
    • Belanda punya satu ID tunggal yang dipakai untuk semua layanan resmi pemerintah
      Pada dasarnya itu struktur username/password + MFA yang diterbitkan pemerintah, dan identitas juga bisa diverifikasi dengan memindai chip NFC paspor lewat ponsel pintar
      Tapi aku tidak terlalu paham bagaimana itu menyelesaikan masalah kebocoran data
    • Prancis sendiri sudah punya beberapa sarana verifikasi identitas online
      France Connect SSO adalah semacam SSO terfederasi, dan ada juga cara seperti mengirim surat berkode ke alamat lewat kantor pos atau meminta verifikasi langsung di tempat, atau cukup punya satu akun yang sudah diverifikasi secara fisik seperti akun pajak atau jaminan sosial agar bisa login ke layanan pemerintah lain
      Secara terpisah juga ada aplikasi yang diusulkan untuk membaca chip NFC pada identitas fisik lalu mencocokkan biometrik dengan swafoto untuk autentikasi

  • Sangat ironis bahwa setiap kali membuat atau mengubah dokumen, seperti menambahkan keterangan baru pada SIM, mereka meminta semua salinan identitas yang bisa dibayangkan, tetapi ternyata justru membocorkan semua dataku
    Padahal sejak awal mereka seharusnya sudah punya semuanya

    • Untuk memverifikasi identitas, pada akhirnya memang perlu menunjukkan identitas dan melakukan pencarian di sistem
      Jadi prosedur itu sendiri tidak aneh, dan aku kurang paham inti keberatan di komentar awal

  • 19 juta warga Prancis, ternyata aku termasuk di dalamnya

  • Birokrasi gaya lama juga punya kelebihannya sendiri
    Kebocoran besar seperti ini jauh lebih sulit terjadi, dan sekalipun terjadi nilainya jauh lebih rendah
    Sistem itu juga menopang partisipasi demokratis lewat orang-orang yang bekerja untuk menjaga kepatuhan prosedur dan mencegah kecurangan
    Karena kita semua tahu sistem seperti ini pada akhirnya tetap akan ditembus, sekarang seharusnya perancangannya berangkat dari asumsi "kalau sampai bocor, bagaimana manusia dan institusi tetap dilindungi"
    Kalau kita akan terus melangkah ke arah ini, entah karena kenyamanan, pengawasan, atau otoritarianisme, maka skenario pascakebocoran harus benar-benar dipersiapkan

  • Menarik juga bahwa ini terjadi tepat setelah mereka membanggakan bahwa sistem bisa dengan mudah dipindahkan dari Microsoft dan perusahaan-perusahaan AS
    Mungkin tahun depan benar-benar akan menjadi tahun Linux desktop

  • Aku jadi bertanya-tanya apakah ada cara untuk mencampurkan noise dalam jumlah besar sampai data seperti ini jadi tidak berguna
    Aku juga penasaran apakah LLM bisa membantu untuk itu

    • Kalau itu pertanyaan serius, jawabannya tidak
      Basis data sumber yang otoritatif sudah terlanjur dibobol, jadi penyerang tahu dataset mana yang asli, dan noise dari luar bisa langsung diabaikan