本月初,摩洛哥被认为是迄今为止最重要的网络安全漏洞所震撼。该目标是国家的国家社会保障基金会,Caisse NationaledeSécuritéSociale(CNSS),该机构负责管理私营部门雇员的社会福利。违规行为损害了近200万个人和大约40,000个注册企业及其近400万员工的个人信息。
CNSS成立于1961年,旨在继承Caisse D'Aide Sociale,是摩洛哥的中央机构,为私营部门雇员管理强制性社会保险。它的责任涵盖医疗保健保险,退休金管理,失业支持,产假福利,残疾服务,家庭津贴和死亡赠款。在履行这些职责时,CNSS维护了该国最广泛的公民数据存储库之一。
随着国家的经历,数据泄露是摩洛哥公共和私营部门的警钟快速数字化。危机沟通,数据治理和监管透明度中的违规弱点。据报道,违规行为的受害者仍然不知情和脆弱,而在没有有意义的行动或问责制的情况下,对政府机构的更广泛的公众信任继续侵蚀。
违规背后的实体是在别名“ jabaroot”下运作的威胁演员,据报道,他在一个著名的黑暗网络论坛上出现了,他们以CSV和PDF格式自由地发布了被盗数据。但是,与大多数通过勒索软件或黑暗市场销售寻求利润的网络犯罪分子不同,Jabaroot并未试图通过违反行为获利。根据网络安全分析师的重新确定性,这种行为模式可能表明与黑客主义或网络急剧保持一致的动机,而不是盗窃,而不是盗窃。
“数据泄露背后的动机尚不清楚,但是妥协的规模已经引起了该地区的网络安全社区和隐私专家的关注。违规行为可以解释为摩洛哥最重要的网络攻击,” Resecurity在其中说。”分析攻击。
受损数据的规模和敏感性无疑是惊人的。对于个人而言,数据集包含其全名,国家ID号,护照详细信息,电子邮件地址,电话号码,工资信息和银行证书。内部文档,注册数据和联系信息也暴露了数以万计的企业和其他企业的行政人员。
此外,摩洛哥主要政府机构的雇员也被逮捕,包括经济与财务部,卫生部,摩洛哥摩洛哥投资和出口开发机构,摩洛哥养老基金,国家食品安全办公室,王国的综合财政部以及负责支持中小型企业的机构。
Rescurity警告说:“违反这种规模的数据可能会对公民的数据产生负面的,长期的影响,这可能会造成欺诈和身份盗用的风险。”
违规的复杂性增加是其地缘政治暗流。在据信贾巴罗特(Jabaroot)经营的电报频道上,这位坏演员将摩洛哥演员的阿尔及利亚国家新闻社X帐户的黑客攻击是报复的动机。
这种ting tat的叙述符合摩洛哥和阿尔及利亚群体之间更大的网络敌对模式,这加剧了人们对区域竞争正在流血到数字领域的担忧。尽管贾巴鲁特从未要求赎金,但报道的内部帐户表明,可能有最初未满足的要求,这些要求是私下向摩洛哥当局提出的。
泄漏的文件中有政府官员的薪水细节,其中一些人被黑客指控淡化违约规模。该数据集包含在2024年11月29日的压缩的7Z档案中,已离开网络安全专业人员,猜测违规行为是否可能在几个月前发生并且故意被扣留。
根据重新确定性,数据的有效性已通过内部评估和与客户的交叉验证确认。但是,尽管有证据表明越来越多,公众关注的越来越多,但CNSS和摩洛哥监管机构都没有正式通知受影响的人。
这种缺乏透明度引发了有关消费者权利和机构责任制的严重问题。违规的受害者尚未收到有关如何保护自己的任何官方沟通或指导,这创造了一种已经成熟的剥削环境。
网络安全专家警告说,由于不良演员利用暴露的数据,因此身份盗用,财务欺诈和有针对性的社会工程攻击的可能性很大。此外,这些坏演员可能已经在使用这些信息来模仿银行系统中的公民或执行旨在窃取更多证书的网络钓鱼运动。
泄漏的数据不仅包括摩洛哥国民,还包括与欧洲和其他外国企业在该国开展业务的员工和实体。鉴于摩洛哥越来越多地整合到国际贸易网络中,这种违规行为可能会产生跨国后果,从而进一步使外交和经济关系变得复杂。
摩洛哥首席数据保护局国家控制和保护个人数据的控制和保护委员会已公开承认违规行为,并表示对通过此类数据泄露获得的个人信息的非法使用表示关注。
CNDP提醒机构和公众,如果不违反现有数据保护法,则无法访问或利用法律框架之外的数据。在政府的反应,法律行动或预防性监管方面,几乎没有任何行动。
重新确定性正在与执法机构合作,以调查违规行为。虽然初始分析尚未确定是否由国家赞助的群体策划了该黑客,但行为模式强烈类似于先进的持久威胁参与者使用的策略。
“这种策略是……针对政府机构的高级间谍团体的典型特征,” Rescurity指出,并补充说:“为避免归因,此类参与者更喜欢以网络犯罪动机为伪装的人作战。”
在这种情况下,没有任何经济激励措施,再加上目标的战略性质以及围绕黑客的政治消息,加强了CNSS Hack背后更复杂的国家支持动机的案件。
CNSS警告公民共享个人信息的危险。大约两年前,该基金发出了警报,与假冒CNSS代表的个人拆分,他们一直联系公民要求银行详细信息。中枢神经系统当时承诺对任何此类欺诈性计划进行监视和采取法律诉讼。
