法国足协(FFF)确认发生一起重大网络安全事件,导致会员及持证者的个人数据遭窃。
该联盟透露,网络犯罪分子侵入了全国足球俱乐部用于管理会员资格和日常运营的集中管理软件。
据披露,此次泄露并非软件漏洞所致,而是通过遭入侵用户账号获得的未授权访问。
这一被泄露的凭据赋予了攻击者管理员权限,使其能够在入侵被阻止前遍历系统并窃取敏感数据库。
被盗数据的范围
尽管FFF声称此次入侵仅限于特定数据集,但泄露的信息是高度敏感的个人身份信息(PII)。该联合会证实,攻击者访问并窃取了以下俱乐部会员相关细节:
全名(名和姓)
出生日期和地点
性别与国籍
邮政地址和电子邮件地址
电话号码
许可证号码
这一特定数据组合的暴露为受影响个体创建了“完整身份”档案,显著增加了身份盗窃和针对性社会工程攻击的风险。
检测到未经授权的活动后,FFF安全团队立即采取了防御Action。受损的管理员账户被禁用以切断访问,并在整个软件平台上强制执行强制密码重置,以防止攻击者横向移动。
根据法国法律和GDPR要求,FFF已就该犯罪行为提出正式投诉。他们还通知了相关监管机构,特别是法国国家网络安全局(ANSSI)和国家信息与自由委员会(CNIL)。
联邦目前正在与所有在泄露数据库中发现电子邮箱的个人直接沟通。
FFF已向所有被许可方发出强烈建议,提醒他们警惕网络钓鱼企图。安全专家警告称,威胁行为者经常利用窃取的PII制作看似来自官方来源(此处指FFF或当地俱乐部)的逼真电子邮件或短信。
成员应高度警惕任何要求提供银行详情、密码或敦促打开附件的通信。
该联合会强调,正在不断加强安全措施,以应对针对体育部门的“日益增多且形式新颖的网络攻击”。
翻译自: cybersecuritynews
领取优惠
提交成功!