France Travail, het Franse equivalent van het UWV, heeft een boete van vijf miljoen euro gekregen vanwege een datalek waarbij de persoonlijke gegevens van 37 miljoen mensen zijn gestolen. De Franse privacywaakhond CNIL maakte dit vandaag bekend. Aanvallers wisten in te breken in een systeem van France Travail en stalen namen, burgerservicenummers, adresgegevens, telefoonnummers, e-mailadressen, regio en andere informatie. In totaal ging het om 25 gigabyte aan data van mensen die de afgelopen twintig jaar via France Travail werk zochten of hun cv op de website plaatsten.

CNIL onthulde het datalek begin 2024 en startte een onderzoek. De aanvallers kregen toegang tot het systeem via social engineering. Ze deden zich voor als medewerkers van Cap emploi, een organisatie die mensen met een beperking helpt werk te vinden, en vroegen een wachtwoordreset aan bij de helpdesk. Vervolgens benaderden ze de echte Cap emploi-medewerker als de helpdesk en verkregen zo het nieuwe wachtwoord. France Travail had onvoldoende technische en organisatorische maatregelen getroffen om de aanval te bemoeilijken. De inlogmethoden waren niet robuust genoeg, met wachtwoorden van slechts acht karakters en vijftig toegestane foutieve inlogpogingen. Er was geen multifactorauthenticatie en de logging was onvoldoende om verdachte activiteiten te detecteren. Cap emploi-accounts hadden bovendien te veel rechten. CNIL benadrukt dat France Travail als overheidsinstantie een wettelijk vastgesteld budget heeft, waardoor de boete niet op basis van omzet wordt bepaald, maar binnen een bandbreedte met een maximum van tien miljoen euro valt. De boete voor het schenden van de AVG is vastgesteld op vijf miljoen euro en gaat naar de staatskas.