Eind vorige week heeft Pôle emploi, de Franse overheidsdienst voor arbeidsbemiddeling, te horen gekregen dat er een grootschalig datalek is geconstateerd bij Majorel, een van de twee externe dienstverleners waar de organisatie gebruik van maakt.

 

Het datalek is bekend gemaakt op de website van Pôle emploi en is later bevestigd door dagblad Le Parisien. Majorel is verantwoordelijk voor de digitalisering en verwerking van gegevens van werkzoekenden. De andere externe dienstverlener van Pôle emploi is Tessi, die niet getroffen is.

Mogelijk gegevens van tien miljoen werkzoekenden

Mogelijk gaat het om persoonsgegevens van tien miljoen werklozen: mensen die sinds februari 2022 bij Pôle emploi zijn ingeschreven en degenen die op die datum minder dan 12 maanden niet zijn ingeschreven, aldus de directie van Pôle emploi; respectievelijk 6 miljoen en 4 miljoen personen. Het Franse En Contact wist te melden dat op 9 augustus het bestand met gegevens van circa tien miljoen personen voor 900 euro op het darkweb werd aangeboden.

Voor zover duidelijk gaat het om achternamen, voornamen en sofinummers. E-mailadressen, telefoonnummers, wachtwoorden en bankgegevens zouden geen onderdeel uitmaken van het lek, aldus Pôle emploi. Cliënten van de dienst kunnen terecht bij het contactcenter van de dienst, die voorbereid is op vragen.

Onderzoek en melding CNIL

Majorel, dat zelf tot nu toe geen ruchtbaarheid aan het datalek heeft gegeven, zou inmiddels een intern onderzoek hebben opgestart. Pôle emploi heeft het datalek afgelopen week gemeld bij de CNIL (Commission nationale de l’informatique et des libertés, de Franse privacywaakhond) en gaat een klacht indienen bij het OM.

Volgens En Contact komt het nieuws over het datalek op een voor Majorel pijnlijk moment naar buiten. De overname van Majorel – voor 3 miljard euro – door Teleperformance is formeel gestart op 14 augustus. Majorel is sterk vertegenwoordigd in de Franse overheidsdiensten en de gezondheidszorg, waar gegevensbescherming een gevoelig onderwerp is, aldus En Contact.

Bekende kwetsbaarheid

En Contact schrijft verder dat het datalek vermoedelijk in de toepassing voor gegevensuitwisseling zit. Bij Pôle Emploi wordt gebruik gemaakt van MOVEit, een oplossing van Ipswitch). Dit is bij specialisten een bekende kwetsbaarheid. In Frankrijk wordt het sofinummer gebruikt om burgers toegang te geven tot allerlei overheidsdiensten.

Het is de tweede keer in korte tijd dat er een datalek optreedt bij uitbestede klantcontactdiensten in Frankrijk. In maart 2023 werd bekend dat een of meerdere informatielijnen die consumenten tegen betaling in contact brengen met grote merken zoals Apple, Amazon, Canal+, Credit Agricole en Orange, getroffen werden. Hierbij werden opnames van gesprekken van duizenden klanten ontvreemd, die vervolgens op het web te koop worden aangeboden. Het gaat om commerciële Franse doorverbinddiensten zoals 118 412, 118 818 en 118 777. Deze diensten worden uitgevoerd door facilitaire contactcenters die actief zijn in Franstalige landen in Afrika, aldus directeuren van de betrokken diensten. Hierbij zijn geen namen van bedrijven bekend gemaakt. (En Contact/Ziptone)

Customer Experience, Featured