Zpět na novinky

Únik dat 12 milionů lidí z francouzského úřadu pro osobní doklady

· Waulter tým
únik dat ANTS Francie GDPR CNIL kybernetická bezpečnost osobní údaje

Co se stalo

Dne 15. dubna 2026 detekoval francouzský Národní úřad pro osobní doklady (Agence nationale des titres sécurisés, ANTS) bezpečnostní incident na portálu ants.gouv.fr. Útočník pronikl do systému a stáhl osobní údaje z odhadem 11,7 milionu uživatelských účtů — osobních i firemních.

ANTS je klíčová státní agentura, která zajišťuje vydávání občanských průkazů, pasů, řidičských průkazů a pobytových karet pro celou Francii.

Incident byl veřejně potvrzen 22. dubna, kdy se na kriminálních fórech objevil útočník vystupující pod přezdívkami „breach3d" a „ExtaseHunters" s nabídkou ukradených dat k prodeji.

Jaká data unikla

Ministerstvo vnitra potvrdilo únik následujících údajů:

  • Jméno a příjmení
  • E-mailová adresa
  • Datum a místo narození
  • Přihlašovací identifikátor (login)
  • Unikátní identifikátor účtu ANTS
  • Telefonní číslo (u části účtů)
  • Poštovní adresa (u části účtů)

Hesla a biometrická data podle dostupných informací kompromitována nebyla.

Příčina: triviální IDOR zranitelnost

Útok nebyl sofistikovanou operací. Útočník zneužil zranitelnost typu IDOR (Insecure Direct Object Reference) v API portálu — stačilo v požadavku změnit číselný parametr a systém vrátil data jiného uživatele. Žádná autorizační kontrola, žádné ověření oprávnění.

Jde o jednu z nejzákladnějších bezpečnostních chyb, která je standardní součástí OWASP Top 10 a kterou by měl odhalit jakýkoliv bezpečnostní audit.

Reakce úřadů

  • CNIL (francouzský dozorový úřad pro ochranu dat) byl informován v souladu s čl. 33 GDPR — povinnost oznámit porušení do 72 hodin.
  • Pařížská prokuratura obdržela trestní oznámení.
  • ANSSI (francouzská agentura pro kybernetickou bezpečnost) byla přizvána k vyšetřování.
  • ANTS varoval veřejnost před phishingovými útoky a vishingem, které mohou zneužít uniknutá data.
  • Některé služby portálu (včetně vydávání pasů) byly dočasně omezeny.

Proč je to důležité pro každou organizaci

1. Základní bezpečnostní chyby mají katastrofální následky

IDOR zranitelnost je triviální — a přesto vedla k úniku dat 12 milionů lidí. Sofistikované útoky nejsou potřeba tam, kde selhávají základy.

2. GDPR platí pro všechny — včetně státních úřadů

CNIL může vyšetřovat i státní instituce. Povinnost notifikace, minimalizace dat a technická ochrana platí bez výjimky.

3. Uniknutá data živí další útoky

Jméno, datum narození, e-mail a telefon — to je kompletní sada pro cílený phishing, vishing nebo podvodné žádosti o vydání dokladů. Následky úniku se násobí v čase.

Co to znamená pro správu souhlasů

Každá organizace, která sbírá osobní údaje — včetně souhlasů s cookies — nese odpovědnost za jejich ochranu. Incident ANTS připomíná:

  • Sbírejte jen to, co potřebujete — princip minimalizace dat (čl. 5 GDPR) snižuje dopad případného úniku.
  • Audit-ready záznamy — transparentní logy o tom, kdo k datům přistupoval a kdy, pomáhají při vyšetřování.
  • Pravidelné bezpečnostní kontroly — automatizované skenování zranitelností by mělo být standardem, ne výjimkou.

Waulter CMP je navržen s důrazem na minimalizaci dat a transparentní správu souhlasů. Záznamy o souhlasech jsou šifrované, přístupové logy auditovatelné a žádná osobní data se neukládají nad rámec GDPR požadavků.


Zdroje: Ministerstvo vnitra Francie — tisková zpráva (22. 4. 2026), TechCrunch, The Record (Recorded Future), CyberNews, SecurityAffairs, CNIL notifikace dle čl. 33 GDPR

Chcete mít souhlasy pod kontrolou?

Waulter CMP vám pomůže se správou souhlasů, GDPR compliance a ochranou osobních dat.