本月初,摩洛哥被認為是迄今為止最重要的網絡安全漏洞所震撼。該目標是國家的國家社會保障基金會,Caisse NationaledeSécuritéSociale(CNSS),該機構負責管理私營部門僱員的社會福利。違規行為損害了近200萬個人和大約40,000個註冊企業及其近400萬員工的個人信息。
CNSS成立於1961年,旨在繼承Caisse D'Aide Sociale,是摩洛哥的中央機構,為私營部門僱員管理強制性社會保險。它的責任涵蓋醫療保健保險,退休金管理,失業支持,產假福利,殘疾服務,家庭津貼和死亡贈款。在履行這些職責時,CNSS維護了該國最廣泛的公民數據存儲庫之一。
隨著國家的經歷,數據洩露是摩洛哥公共和私營部門的警鐘。危機溝通,數據治理和監管透明度中的違規弱點。據報導,違規行為的受害者仍然不知情和脆弱,而在沒有有意義的行動或問責制的情況下,對政府機構的更廣泛的公眾信任繼續侵蝕。
違規背後的實體是在別名“ jabaroot”下運作的威脅演員,據報導,他在一個著名的黑暗網絡論壇上出現了,他們以CSV和PDF格式自由地發布了被盜數據。但是,與大多數通過勒索軟件或黑暗市場銷售尋求利潤的網絡犯罪分子不同,Jabaroot並未試圖通過違反行為獲利。根據網絡安全分析師的重新確定性,這種行為模式可能表明與黑客主義或網絡急劇保持一致的動機,而不是盜竊,而不是盜竊。
“數據洩露背後的動機尚不清楚,但是妥協的規模已經引起了該地區的網絡安全社區和隱私專家的關注。違規行為可以解釋為摩洛哥最重要的網絡攻擊,” Resecurity在其中說。 ”分析攻擊。
受損數據的規模和敏感性無疑是驚人的。對於個人而言,數據集包含其全名,國家ID號,護照詳細信息,電子郵件地址,電話號碼,工資信息和銀行證書。內部文檔,註冊數據和聯繫信息也暴露了數以萬計的企業和其他企業的行政人員。
此外,摩洛哥主要政府機構的僱員也被逮捕,包括經濟與財務部,衛生部,摩洛哥摩洛哥投資和出口開發機構,摩洛哥養老基金,國家食品安全辦公室,王國的綜合財政部以及負責支持中小型企業的機構。
Rescurity警告說:“違反這種規模的數據可能會對公民的數據產生負面的,長期的影響,這可能會造成欺詐和身份盜用的風險。”
違規的複雜性增加是其地緣政治暗流。在據信賈巴羅特(Jabaroot)經營的電報頻道上,這位壞演員將摩洛哥演員的阿爾及利亞國家新聞社X帳戶的黑客攻擊是報復的動機。
這種ting tat的敘述符合摩洛哥和阿爾及利亞群體之間更大的網絡敵對模式,這加劇了人們對區域競爭正在流血到數字領域的擔憂。儘管賈巴魯特從未要求贖金,但報導的內部帳戶表明,可能有最初未滿足的要求,這些要求是私下向摩洛哥當局提出的。
洩漏的文件中有政府官員的薪水細節,其中一些人被黑客指控淡化違約規模。該數據集包含在2024年11月29日的壓縮的7Z檔案中,已離開網絡安全專業人員,猜測違規行為是否可能在幾個月前發生並且故意被扣留。
根據重新確定性,數據的有效性已通過內部評估和與客戶的交叉驗證確認。但是,儘管有證據表明越來越多,公眾關注的越來越多,但CNSS和摩洛哥監管機構都沒有正式通知受影響的人。
這種缺乏透明度引發了有關消費者權利和機構責任制的嚴重問題。違規的受害者尚未收到有關如何保護自己的任何官方溝通或指導,這創造了一種已經成熟的剝削環境。
網絡安全專家警告說,由於不良演員利用暴露的數據,因此身份盜用,財務欺詐和有針對性的社會工程攻擊的可能性很大。此外,這些壞演員可能已經在使用這些信息來模仿銀行系統中的公民或執行旨在竊取更多證書的網絡釣魚運動。
洩漏的數據不僅包括摩洛哥國民,還包括與歐洲和其他外國企業在該國開展業務的員工和實體。鑑於摩洛哥越來越多地整合到國際貿易網絡中,這種違規行為可能會產生跨國後果,從而進一步使外交和經濟關係變得複雜。
摩洛哥首席數據保護局國家控制和保護個人數據的控制和保護委員會已公開承認違規行為,並表示對通過此類數據洩露獲得的個人信息的非法使用表示關注。
CNDP提醒機構和公眾,如果不違反現有數據保護法,則無法訪問或利用法律框架之外的數據。在政府的反應,法律行動或預防性監管方面,幾乎沒有任何行動。
重新確定性正在與執法機構合作,以調查違規行為。雖然初始分析尚未確定是否由國家贊助的群體策劃了該黑客,但行為模式強烈類似於先進的持久威脅參與者使用的策略。
“這種策略是……針對政府機構的高級間諜團體的典型特徵,” Rescurity指出,並補充說:“為避免歸因,此類參與者更喜歡以網絡犯罪動機為偽裝的人作戰。”
在這種情況下,沒有任何經濟激勵措施,再加上目標的戰略性質以及圍繞黑客的政治消息,加強了CNSS Hack背後更複雜的國家支持動機的案件。
CNSS警告公民共享個人信息的危險。大約兩年前,該基金發出了警報,與假冒CNSS代表的個人拆分,他們一直聯繫公民要求銀行詳細信息。中樞神經系統當時承諾對任何此類欺詐性計劃進行監視和採取法律訴訟。
文章主題
|||||
