Hacker khoét lỗ IDOR, phơi bày 19 triệu danh tính công dân Pháp qua hệ thống ANTS

TL;DR

Ngày 15/04/2026, ANTS (Agence Nationale des Titres Sécurisés) — cơ quan cấp căn cước, hộ chiếu, bằng lái, thẻ cư trú của Pháp — bị khai thác qua lỗi IDOR trên API cổng moncompte.ants.gouv.fr. Tin tặc tuyên bố lấy được tới 19 triệu bản ghi PII và khẳng định không đòi tiền chuộc: "tôi chỉ muốn chứng minh hệ thống chính phủ dễ hack đến mức nào". Bộ Nội vụ Pháp đã xác nhận sự cố ngày 20/04 và nộp đơn hình sự.

What's new

Đây là vụ rò rỉ dữ liệu lớn nhất liên quan tới danh tính số của nước Pháp kể từ sự cố Pôle Emploi 2024. Điểm bất thường nằm ở động cơ của kẻ tấn công: theo FrenchBreaches và IntCyberDigest — hai nguồn nhận được bản mẫu trực tiếp — hacker không rao bán, không tống tiền, chỉ muốn phơi bày mức độ dễ dãi của một API sản xuất do nhà nước vận hành. Hacker gọi nó là "một lỗ hổng cực kỳ ngu ngốc" ("une faille vraiment stupide").

Why it matters

ANTS là backbone cấp mọi giấy tờ tuỳ thân của công dân Pháp. Rò rỉ PII kiểu này không thể "vá" bằng cách đổi mật khẩu — ngày sinh, nơi sinh, số tài khoản ANTS là dữ liệu tĩnh suốt đời. Một khi lộ, nó được dùng cho các chiến dịch lừa đảo và danh tính tổng hợp trong nhiều năm. Ở bình diện chính sách, sự cố này đặt câu hỏi trực tiếp lên roadmap căn cước số của EU và cơ chế bảo vệ dữ liệu công dân khi nhà nước trở thành platform.

Technical facts

• Loại lỗi: Insecure Direct Object Reference (IDOR) — OWASP A01 Broken Access Control
• Cơ chế khai thác: chỉ cần thay đổi ID người dùng trong request tới API, hệ thống trả về dữ liệu của user khác mà không kiểm tra quyền
• Endpoint: API sau cổng moncompte.ants.gouv.fr
• Quy mô hacker tuyên bố: 18–19 triệu bản ghi, ~80 GB dump (theo IntCyberDigest, con số này chưa được chính phủ xác nhận)
• Trường dữ liệu xác nhận lộ: họ tên, ngày & nơi sinh, email, số điện thoại, địa chỉ, login ID, mã định danh ANTS
• Không bị lộ (theo Bộ Nội vụ): bản scan CCCD/hộ chiếu tải lên, thông tin đăng nhập trực tiếp — nghĩa là dữ liệu lộ không đủ để đăng nhập vào cổng

Comparison

IDOR không mới. CISA và ACSC Úc đã ra cảnh báo chung năm 2023 về loạt vụ tương tự. Đặt ANTS cạnh các vụ cùng kiểu để thấy bối cảnh:

Use cases (ai hưởng lợi, ai thiệt hại)

Với kẻ tấn công cơ hội, đây là bộ dữ liệu vàng cho bốn hướng khai thác:

1. Phishing có ngữ cảnh: email "hộ chiếu của bạn bị chặn" kèm đúng tên, đúng mã ANTS — tỉ lệ click tăng vọt so với phishing generic.
2. Danh tính tổng hợp: ghép PII ANTS với các leak cũ (LinkedIn, Adobe) để mở tài khoản ngân hàng hoặc vay tín chấp.
3. Social engineering nhắm mục tiêu: tài khoản ANTS pro của công chứng viên, luật sư, quản lý đội xe — cửa ngõ vào chuỗi cung ứng dịch vụ pháp lý.
4. Data broker dark market: kể cả khi tác giả "không lấy tiền", bản mẫu đang lưu hành có thể bị bên khác bán lại.

Limitations & pricing

Một số điểm cần giữ tỉnh táo trước khi kết luận quá sớm:

• Con số 80 GB, source code, logs, passwords là claim của hacker qua IntCyberDigest — chưa được ANTS hay Bộ Nội vụ xác nhận. Chỉ PII 18–19M là con số đang được báo chí Pháp đồng thuận.
• Bộ Nội vụ khẳng định "không cần user hành động", nhưng thực tế: cảnh giác phishing là điều tối thiểu nên làm.
• CNIL (cơ quan bảo vệ dữ liệu Pháp) có thể mở điều tra và áp chế tài GDPR — tối đa 4% ngân sách hàng năm của cơ quan công.

What's next

Ba diễn biến cần theo dõi trong 2–4 tuần tới:

1. Báo cáo kỹ thuật của ANSSI — xác định phạm vi thật sự của dump, có thực sự chứa source code hay không.
2. Điều tra CNIL — liệu ANTS có bị phạt GDPR và tiền lệ nào cho các cơ quan công khác.
3. Hành động class-action — luật Pháp cho phép khởi kiện tập thể với rò rỉ PII; một số văn phòng luật đã nhận đơn.

Bài học ngắn cho team engineering: mọi API production phải test IDOR như test SQL injection. Authorization check trên từng object ID, không chỉ trên session. OWASP ASVS v4 Section 4 là checklist tối thiểu.

Nguồn: Security Affairs, Connexion France, Journal du Geek, IntCyberDigest.