4月下旬,法国国家安全领域爆出惊人消息,专门负责管理法国公民身份证、护照及驾驶执照的政府机构France Titres(原ANTS)发布了一份沉重的报告,承认其核心服务网站ants.gouv.fr发生了一起前所未有的数据泄露事件。据初步报告显示,约1170万个公民账户受影响,而随后的深入调查指出,泄露的记录总数可能高达1800万份。这些包含敏感个人信息的资料目前已在暗网上公开出售,引发了法国全境乃至整个欧洲对于大规模身份盗窃和网络钓鱼攻击的高度警惕。
据媒体报道,尽管最初的评估数字停留在1170万个账户,但随着安全专家的深入排查,确认受影响的记录已经攀升至1800万份,泄露数据包括生物识别护照、国民身份证和驾驶执照。这意味着近三分之一的法国人口,其在政府数据库中的核心身份资产已经处于“裸奔”状态。
身份信息数据正在暗网出售
事情的起因源于安全监测人员在多个臭名昭著的暗网论坛上发现了一则出售广告。名为“breach3d”和“ExtaseHunters”的黑客在暗网论坛上发布消息,声称掌握了法国政府身份文件数据库的完整访问权限,获取了完整的用户信息,并表示愿意出售这些记录。
黑客并提供了一份详尽的样本。这些数据不仅包括公民的姓名、出生日期、联系方式,甚至还涉及与生物特征识别相关的元数据以及护照和驾照的申请流水号。“暗网下/AWX”检查了黑客“break3d”发布的98条记录样本,这些记录包含用户个人身份信息(PII),包括姓名、电子邮件地址、出生日期,某些条目甚至还包括地址和电话号码。
此次攻击的矛头直指ANTS(Agence Nationaledes Titres Sécurisés),该机构是法国数字政府转型的核心支柱。由于该平台集成了全国范围内的身份验证服务,一旦失守,其连锁反应是灾难性的。FranceTitres的官员指出,这些被窃取的数据正在被职业犯罪团伙打包购买,其首要用途便是针对性极强的网络钓鱼攻击。犯罪分子可以利用这些精准的政府背书信息,伪装成官方税务、社保或银行机构,诱导受害者进行转账或进一步交出支付凭证。
身份数据泄露的巨大影响
虽然最近这次攻击影响巨大,但法国此前也发生过规模更大的数据泄露事件。例如,2024年,医疗支付服务提供商Viamedis/Almerys的数据泄露事件就影响了约3300万人。
然而,ANTS系统中与护照、国民身份证、驾驶执照、居留许可和车辆登记相关的1900万条身份关联记录意味着这些数据对犯罪分子来说可能更有用。受影响的公民现在将面临社交工程和用户画像攻击的风险,这些攻击可能会在未来发生。
从技术层面看,ANTS系统的复杂性既是其优势也是其弱点。由于该系统需要处理海量的敏感生物识别数据和法律文档,其前端API与后端数据库之间的权限校验逻辑成了黑客攻击的重点。虽然France Titres尚未披露具体的入侵路径(究竟是利用了0-day漏洞,还是由于第三方承包商的凭据泄露),但安全分析师普遍认为,针对这类国家级数据库的攻击通常涉及长期的渗透和对内部业务逻辑的深度逆向。
更糟糕的是,由于泄露的数据涉及不可变更的身份属性(如出生日期和公民编号),受害者无法像更改密码一样“更换”自己的身份。这种持久性的威胁将伴随受影响的1800万公民数年之久。正如相关报道所指出的,这次事件不仅是技术上的挫败,更是公众对数字政府信任度的一次沉重打击。
相关部门的后续响应与对公众的风险警示
根据目前掌握的信息,受影响的数据可能包括登录信息、姓名、电子邮件地址、出生日期和唯一账户标识符。在某些情况下,邮政地址、出生地和电话号码也被认为会受到影响;然而,官方目前认为生物识别数据和上传的文件不属于泄露内容之列。
目前,法国相关安全部门已启动紧急响应预案,要求所有ants.gouv.fr的用户强制更换强密码并启用多因素验证(MFA)。然而,对于那些数据已经被拖库并在暗网流通的用户来说,这些补救措施更像是亡羊补牢。法国网络安全监管机构已发出预警,呼吁民众对任何自称来自政府机构的电话、邮件或短信保持极端怀疑的态度。
这次事件为全球正在推进数字身份识别(DigitalID)的国家敲响了警钟:当身份证明与中心化数据库深度绑定时,单一节点的崩塌便足以演变成波及全国的社会安全危机。
对于企业和安全人员而言,此案例尤其值得关注,因为它涉及潜在风险。来自政府机构的数据集具有很高的可信度,因此特别适合用于定向网络钓鱼、账户滥用或身份欺诈。由于法国签证申请流程与官方申请流程紧密相关,攻击者可以利用这些数据构建极具迷惑性的社会工程攻击场景。