Утечка персональных данных сотрудников правоохранительных органов

Организация ЕС CEPOL допустила утечку персональных данных. Из-за кибератаки произошла утечка персональных данных участников тренингов для сотрудников правоохранительных органов. Этот инцидент может привести к неприятным последствиям для пострадавших. Он продолжает серию утечек персональных данных из правоохранительных органов и агентств Евросоюза.

Персональные данные без малого 100 тысяч человек, которые участвовали в обучающих мероприятиях под эгидой CEPOL, агентства ЕС по подготовке сотрудников правоохранительных органов, были скомпрометированы в результате кибератаки, случившейся в мае прошлого года.

В пятницу, 10 января, CEPOL сообщило, что в октябре-декабре 2024 г. отправило по электронной почте более 97000 уведомлений лицам, чьи персональные данные обрабатывались в 31 случае, определенных как высокорисковые в контексте утечке данных.

Большинство пострадавших субъектов персональных данных проходили очное и онлайн-обучение, организованное CEPOL. Они были подключены к платформе обучения сотрудников правоохранительных органов (LEEd), участвовали в программах обмена, посещали центры знаний, занимались научно-исследовательской деятельностью. Также их данные хранились в кадровых центрах и в проектах международного сотрудничества.

Агентство CEPOL располагается в Будапеште (Венгрия). Его цели — укрепление сотрудничества между правоохранительными органами и повышение уровня безопасности в ЕС путем развития навыков и знаний у сотрудников полиции, пограничников, таможенников и других представителей правоохранительных органов. CEPOL тесно сотрудничает с Европолом (полицейская служба ЕС), Евроюстом (служба в сфере уголовного правосудия), Frontex (европейская служба пограничной и береговой охраны) и рядом других агентств Евросоюза.

В июле 2024 г. CEPOL сообщило о начале расследования в связи с выявленной аномальной активностью в своей сети. Агентство уточняло, что его платформа LEEd также была взломана. Впоследствии ИТ-инфраструктура CEPOL и LEEd были развернуты в более безопасной среде.

В конце ноября 2024 г. представители CEPOL признали, что все данные, которые обрабатывает агентство, включая персональные данные, следует считать скомпрометированными субъектом угрозы. Эти данные включают имена пользователей, адреса электронной почты, номера телефонов, звания, названия организаций и стран, профессиональная квалификация, пол и т.д.

«Эта утечка данных может повлечь множество неблагоприятных последствий», — констатировало агентство и посоветовало пользователям быть начеку, сообщая о неправомерном использовании похищенной информации в мошеннических схемах, а также с целью шантажа, киберпреследования и т.д.

CEPOL также настоятельно рекомендовало пользователям сбросить пароли к аккаунтам электронной почты, которые использовались для связи с агентством, а также подключить многофакторную аутентификацию и проинформировать об утечке данных свое ближайшее окружение, попросив людей быть осторожными в отношении любых нежелательных событий. 
Напомним, что в 2024 году были взломаны различные платформы, принадлежащие правоохранительным органам и агентствам Европейского союза. В частности, хакер IntelBroker украл конфиденциальные данные агентства Европол.

Другой известный хакер, USDoD, заявлял, что получил доступ к платформе InfraGard американского ФБР, ресурсам центра кибербезопасности НАТО, а также к системе LEEd CEPOL. В октябре USDoD был арестован федеральной полицией Бразилии.

Источник: Help Net Security