Franse onderzoekers hebben een 15-jarige verdachte aangehouden in verband met een groot datalek waarbij een overheidsinstantie die verantwoordelijk is voor identiteitsdocumenten wordt getroffen, in een zaak die groeiende zorgen benadrukt over jongerenbetrokkenheid bij cybercriminaliteit met een grote impact.
De arrestatie volgt op een onderzoek naar een cyberaanval gericht op het National Agency for Secure Documents (ANTS), dat gevoelige gegevens beheert die gekoppeld zijn aan paspoorten, nationale ID-kaarten en rijbewijzen. De autoriteiten beweren dat de verdachte betrokken was bij ongeautoriseerde toegang tot de systemen van de dienst en het verzamelen van grote hoeveelheden persoonlijke gegevens.
Volgens de aanklagers werd de tiener, wiens identiteit vanwege zijn leeftijd niet is bekendgemaakt, op 25 april aangehouden en ondervraagd op verdenking van het opereren onder het alias “breach3d.” Het account was gebruikt om miljoenen records te adverteren die te koop waren op cybercrime-forums.
Schattingen suggereren dat tussen de 12 miljoen en 18 miljoen records mogelijk zijn blootgesteld, waarbij sommige vermeldingen tot 19 miljoen vermeldingen claimen. De gecompromitteerde gegevens bevatten naar verluidt zeer gevoelige persoonlijke informatie zoals volledige namen, e-mailadressen, telefoonnummers, postadressen en geboortedata.
De breuk zelf werd voor het eerst gedetecteerd in midden april, toen ANTS ongebruikelijke activiteit op zijn netwerk ontdekte. Kort daarna begonnen monsters van de gestolen data te circuleren op ondergrondse marktplaatsen, wat leidde tot een formeel onderzoek door de Franse cybercrime-eenheid.
De autoriteiten hebben een gerechtelijk onderzoek geopend naar meerdere misdrijven, waaronder frauduleuze toegang tot een staatssysteem en diefstal en verspreiding van persoonlijke gegevens. Volgens de Franse wet kunnen dergelijke misdrijven straffen opleveren tot zeven jaar gevangenisstraf en boetes tot €300.000.
Ondanks de omvang van het incident verklaarden functionarissen dat het lek geen geclassificeerde overheidsgegevens betrof. De blootstelling van identiteitsgerelateerde gegevens verhoogt echter aanzienlijk het risico op phishing, identiteitsdiefstal en social engineering-aanvallen die gericht zijn op getroffen personen.
De zaak onderstreept een bredere trend in cybercrime-onderzoeken, waarbij steeds jongere personen betrokken raken bij grootschalige aanvallen op kritieke systemen. Wetshandhavingsinstanties in heel Europa hebben een toename gemeld van technisch bekwame jongeren die zich bezighouden met financieel gemotiveerde of beruchte hackactiviteiten.
Het onderzoek loopt nog steeds, waarbij aanklagers formele aanklachten en rechterlijk toezicht op de verdachte eisen, terwijl de autoriteiten de volledige omvang van de inbreuk en eventuele medeplichtigen blijven beoordelen.