本月早些時候,摩洛哥被認為是迄今為止最嚴重的網絡安全漏洞震驚了。目標是國家社會保障基金、國家社會安全基金(CNSS),這是負責管理私營部門僱員社會福利的政府機構。此次洩露洩露了近 200 萬人、約 40,000 家註冊企業及其近 400 萬名員工的個人信息。
CNSS 成立於 1961 年,前身是 Caisse d’Aide Sociale,是摩洛哥管理私營部門僱員強制社會保險的中央機構。其職責涵蓋醫療保健、養老金管理、失業支持、生育津貼、殘疾服務、家庭津貼和死亡補助金。在履行這些職責時,CNSS 維護著該國最廣泛的公民數據數字存儲庫之一。
此次數據洩露事件給摩洛哥的公共和私營部門敲響了警鐘,因為該國正經歷著巨大的災難。。此次洩露暴露了危機溝通、數據治理和監管透明度方面的弱點。據報導,違規行為的受害者仍然不知情且脆弱,而由於缺乏有意義的行動或問責制,公眾對政府機構的更廣泛信任繼續受到侵蝕。
該漏洞背後的實體是一個化名“Jabaroot”的威脅行為者,據報導,他出現在著名的暗網論壇上,以 CSV 和 PDF 格式免費發布被盜數據。但與大多數通過勒索軟件或黑市銷售尋求利潤的網絡犯罪分子不同,Jabaroot 並未嘗試利用此次漏洞獲利。 Resecurity 的網絡安全分析師表示,這種行為模式可能表明其動機與黑客行動主義或網絡間諜活動一致,而不是為了直接的經濟利益而進行盜竊。
“數據洩露背後的動機尚不清楚,但洩露的規模已經引起了該地區網絡安全界和隱私專家的關注。此次洩露可能被解讀為摩洛哥最嚴重的網絡攻擊,”Resecurity 在其聲明中表示。分析的攻擊。
受損數據的規模和敏感性無疑是驚人的。對於個人而言,數據集包含他們的全名、身份證號碼、護照詳細信息、電子郵件地址、電話號碼、工資信息和銀行憑證。數万家企業和其他企業的內部文件、註冊數據和管理人員的聯繫信息也被曝光。
此外,摩洛哥主要政府機構的員工也陷入了違規行為,包括經濟和財政部、衛生部、摩洛哥投資和出口發展局、摩洛哥養老基金、國家食品安全辦公室、王國財政部以及負責支持中小企業的摩洛哥PME機構的人員。
Resecurity 警告稱:“如此規模的數據洩露可能會對公民數據產生長期的負面影響,從而可能帶來欺詐和身份盜竊的風險。”
地緣政治暗流加劇了此次洩露事件的複雜性。在一個據信由 Jabaroot 運營的 Telegram 頻道上,壞人提到摩洛哥演員入侵阿爾及利亞國家通訊社 X 賬戶作為報復動機。
這種針鋒相對的敘述符合摩洛哥和阿爾及利亞團體之間網絡敵對行動的更大模式,加劇了人們對區域競爭正在滲透到數字領域的擔憂。儘管賈巴魯特從未要求過贖金,但據報導的內部人士透露,最初的要求可能是私下向摩洛哥當局提出的,但未得到滿足。
洩露的文件包括政府官員的薪資詳細信息,其中一些官員被黑客指控淡化了洩露的規模。該數據集包含在日期為 2024 年 11 月 29 日的壓縮 7z 檔案中,讓網絡安全專業人士猜測該漏洞是否可能在幾個月前發生並被故意隱瞞。
據Resecurity稱,數據的有效性已通過內部評估和與客戶的交叉驗證得到確認。然而,據報導,儘管證據越來越多,公眾關注度越來越高,但 CNSS 和摩洛哥監管機構都沒有正式通知受影響的個人。
這種缺乏透明度引發了有關消費者權利和機構問責制的嚴重問題。違規行為的受害者尚未收到任何關於如何保護自己的官方溝通或指導,這創造了一個成熟的利用環境。
網絡安全專家警告稱,由於不良行為者利用暴露的數據,因此很可能發生身份盜竊、金融欺詐和有針對性的社會工程攻擊。此外,這些不良行為者可能已經在使用這些信息冒充銀行系統中的公民或執行旨在竊取更多憑證的網絡釣魚活動。
洩露的數據不僅包括摩洛哥國民,還包括在該國運營的歐洲和其他外國企業的員工和實體。鑑於摩洛哥日益融入國際貿易網絡,這種違規行為可能會產生跨國影響,使外交和經濟關係進一步複雜化。
摩洛哥主要數據保護機構國家個人數據控制和保護委員會已公開承認這一數據洩露事件,並對非法使用通過此類數據洩露獲得的個人信息表示擔憂。
CNDP 提醒機構和公眾,在不違反現有數據保護法的情況下,不得訪問或利用在法律框架之外獲取的數據。政府反應、法律行動或預防性監管方面幾乎沒有什麼進展。
Resecurity 正在與執法機構合作調查此次違規行為。雖然初步分析尚未最終確定此次黑客攻擊是否是由國家資助的組織精心策劃的,但其行為模式與高級持續威脅參與者使用的策略非常相似。
Resecurity 指出:“這種策略……是針對政府機構的高級間諜組織的典型做法。”他補充道,“為了避免被歸咎,這些行為者更喜歡以黑客活動分子的身份打著網絡犯罪動機的幌子進行活動。”
在這種情況下,缺乏任何經濟激勵,加上目標的戰略性質和圍繞黑客攻擊的政治信息,強化了 CNSS 黑客攻擊背後更複雜的國家支持動機的理由。
CNSS 已警告公民共享個人信息的危險。大約兩年前,該基金發出警告,與那些冒充 CNSS 代表聯繫公民索取銀行詳細信息的個人劃清界限。 CNSS 當時承諾對任何此類欺詐計劃進行監控並採取法律行動。
文章主題
|||||
