---
url: 'https://www.corbado.com/vi/blog/vi-pham-du-lieu-phap'
title: '10 Vụ Vi Phạm Dữ Liệu Lớn Nhất Tại Pháp [2026]'
description: 'Khám phá 10 vụ vi phạm dữ liệu lớn nhất tại Pháp. Từ France Travail đến Cegedim. Giải thích về các khoản phạt của CNIL, quy định báo cáo và phương pháp phòng ngừa.'
lang: 'vi'
author: 'Vincent Delitz'
date: '2026-05-27T10:31:00.702Z'
lastModified: '2026-05-27T10:34:03.185Z'
keywords: 'vi phạm dữ liệu Pháp, khoản phạt GDPR Pháp, tấn công mạng Pháp, báo cáo vi phạm dữ liệu Pháp, vi phạm dữ liệu France Travail, vi phạm dữ liệu lớn nhất Pháp 2026, công ty Pháp bị hack, vụ vi phạm dữ liệu lớn nhất Pháp 2026'
category: 'Passkeys Strategy'
---

# 10 Vụ Vi Phạm Dữ Liệu Lớn Nhất Tại Pháp [2026]

## Key Facts

- Vụ **vi phạm France Travail** (Tháng 3 năm 2024) đã làm lộ dữ liệu cá nhân của lên tới **43 triệu** người tìm việc, khiến nó trở thành vụ vi phạm dữ liệu lớn nhất trong lịch sử nước Pháp. CNIL đã phạt France Travail **5 triệu euro** vào tháng 1 năm 2026 theo Điều 32 của GDPR, trong đó mức phạt tối đa đối với một cơ quan công quyền là 10 triệu euro.
- Từ năm 2024 đến năm 2025, hơn **145 triệu hồ sơ** thuộc về công dân Pháp đã bị lộ qua các dịch vụ công, chăm sóc sức khỏe, viễn thông và bán lẻ, tương đương với nhiều vụ vi phạm trên mỗi người dân Pháp.
- Ba trong số bốn công ty viễn thông lớn của Pháp (Free, Bouygues Telecom, SFR) đã xác nhận vi phạm dữ liệu trong giai đoạn 2024-2025, trong đó chỉ riêng Free và Bouygues Telecom đã làm lộ IBAN của hơn **11 triệu thuê bao** cộng lại.
- CNIL đã ban hành các khoản phạt kỷ lục tổng hợp lên tới **42 triệu euro đối với Free Mobile (27 triệu) và Free (15 triệu)** vào ngày 13 tháng 1 năm 2026, báo hiệu một bước chuyển từ cảnh báo sang thực thi trừng phạt.
- Các đơn vị kiểm soát dữ liệu của Pháp phải báo cáo các vụ vi phạm dữ liệu cá nhân cho **CNIL trong vòng 72 giờ** theo Điều 33 của GDPR. Các nhà vận hành có tầm quan trọng sống còn (OIV) và dịch vụ thiết yếu (OSE) cũng phải thông báo cho **ANSSI**; việc chuyển đổi chỉ thị NIS2 vào luật của Pháp vẫn đang diễn ra vào năm 2026.

## 1. Giới thiệu

Pháp đã trở thành một trong những khu vực bị vi phạm dữ liệu nhiều nhất ở châu Âu. Từ năm 2024 đến năm 2025, hơn **145 triệu hồ sơ** thuộc về công dân Pháp đã bị lộ qua các dịch vụ công, [chăm sóc sức khỏe](https://www.corbado.com/passkeys-for-healthcare), [viễn thông](https://www.corbado.com/passkeys-for-telecom) và [bán lẻ](https://www.corbado.com/passkeys-for-e-commerce), đồng nghĩa với việc theo thống kê, **mỗi cư dân Pháp đã là một phần của nhiều vụ vi phạm**. Theo [CNIL](https://www.cnil.fr/en), hơn 5.600 thông báo vi phạm đã được nhận vào năm 2024, một mức cao kỷ lục mới.

Bài viết này liệt kê 10 vụ vi phạm dữ liệu đáng chú ý nhất trong lịch sử gần đây của Pháp, từ 43 triệu hồ sơ bị lộ trong sự cố France Travail đến vụ rò rỉ phần mềm y tế Cegedim Santé, cùng với các quy tắc báo cáo, khoản phạt của CNIL và các phương pháp phòng ngừa áp dụng cho bất kỳ tổ chức nào hoạt động tại Pháp.

## 2. Tại sao Pháp là mục tiêu hấp dẫn cho các vụ vi phạm dữ liệu?

Lĩnh vực [công](https://www.corbado.com/passkeys-for-public-sector) được số hóa cao, hệ sinh thái [thanh toán](https://www.corbado.com/passkeys-for-payment) [chăm sóc sức khỏe](https://www.corbado.com/passkeys-for-healthcare) dày đặc của Pháp và ba nhà mạng [viễn thông](https://www.corbado.com/passkeys-for-telecom) lớn mỗi nhà mạng nắm giữ hàng chục triệu hồ sơ thuê bao kết hợp lại để tạo ra một bề mặt tấn công cực lớn. Thêm vào đó là tình trạng thiếu đầu tư mãn tính vào an ninh mạng so với các quốc gia cùng cấp và các cuộc tấn công phi kỹ thuật (social engineering) nhắm vào các cố vấn tuyến đầu, và kết quả là chuỗi vi phạm kỷ lục mà Pháp đã trải qua trong giai đoạn 2024-2026.

### 2.1 Khu vực công được số hóa cao

Pháp có một trong những hệ thống [chính phủ điện tử](https://www.corbado.com/passkeys-for-public-sector) tiên tiến nhất ở châu Âu. FranceConnect, liên đoàn định danh quốc gia, định tuyến quyền truy cập đến thuế, [chăm sóc sức khỏe](https://www.corbado.com/passkeys-for-healthcare), việc làm và trợ cấp gia đình. Do đó, một tài khoản cố vấn bị xâm phạm có thể làm lộ hồ sơ kéo dài hàng thập kỷ, như đã thấy với France Travail, Pass'Sport và OFII. Khu vực [công](https://www.corbado.com/passkeys-for-public-sector) nắm giữ dữ liệu công dân từ khi sinh ra cho đến khi qua đời, tạo ra sự tập trung các hồ sơ nhạy cảm chưa từng có về quy mô.

### 2.2 Hệ sinh thái dày đặc các bên xử lý thứ ba

Bảo hiểm y tế của Pháp phụ thuộc vào một số ít nền tảng "tiers payant" (thanh toán của bên thứ ba) (Viamedis, Almerys, Cegedim) xử lý dữ liệu cho hàng chục công ty bảo hiểm (mutuelles). Do đó, một cuộc xâm nhập lan truyền đến hàng chục triệu người được bảo hiểm. Mô hình tương tự cũng có thể thấy trong lĩnh vực [viễn thông](https://www.corbado.com/passkeys-for-telecom) (vụ vi phạm năm 2025 của Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom) thông qua một nhà cung cấp bên thứ ba) và trong [thương mại điện tử](https://www.corbado.com/passkeys-for-e-commerce). Ngay cả các tổ chức có chương trình bảo mật nội bộ trưởng thành vẫn bị lộ qua các mạng lưới nhà cung cấp của họ.

### 2.3 Thiếu đầu tư mãn tính vào an ninh mạng

Các phân tích độc lập như [Edouard.ai](https://edouard.ai/blog/france-data-leaks-2025-bouygues-passsport-impots) ước tính chi tiêu an ninh mạng công cộng của Pháp ở mức khoảng **0,03% GDP** (một ước tính, không phải con số chính thức), thấp hơn rõ rệt so với các quốc gia châu Âu cùng cấp. Mức phạt trung bình của CNIL trong lịch sử vẫn ở mức dưới các nước thuộc EU, làm giảm tính răn đe tài chính đối với việc bảo mật lỏng lẻo, một khoảng cách mà cơ quan quản lý hiện đang thu hẹp với các lệnh trừng phạt kỷ lục chống lại Free Mobile, France Travail và các đơn vị khác.

### 2.4 Tấn công phi kỹ thuật và các lỗ hổng MFA

Một số sự cố lớn nhất ở Pháp (France Travail, Viamedis, Free) bắt đầu bằng lừa đảo (phishing) hoặc chiếm đoạt tài khoản trên các cổng thông tin của cố vấn hoặc nhân viên không áp dụng MFA chống lừa đảo (phishing-resistant MFA). Trong mọi trường hợp, những kẻ tấn công đều nhắm vào **con người ở tuyến đầu** thay vì cơ sở hạ tầng cốt lõi. Liên minh FIDO phân loại passkey (khóa truy cập) là có khả năng chống lừa đảo nhờ thiết kế, vì mỗi passkey được liên kết với nguồn gốc hợp pháp và không thể bị phát lại trên các trang web do kẻ tấn công kiểm soát. Các dịch vụ công và công ty viễn thông Pháp chưa triển khai passkey hoặc xác thực dựa trên phần cứng vẫn phải đối mặt với loại tấn công tương tự.

## 3. 10 Vụ Vi Phạm Dữ Liệu Lớn Nhất Tại Pháp

Mười vụ vi phạm dữ liệu lớn nhất của Pháp kể từ năm 2023 đã làm lộ tổng cộng ít nhất **145 triệu hồ sơ** và gây ra các khoản phạt của CNIL lên tới **47 triệu euro** tính đến tháng 1 năm 2026. Chúng trải dài từ các dịch vụ công (France Travail, Pass'Sport), nền tảng chăm sóc sức khỏe (Viamedis, Almerys, Cegedim Santé), viễn thông (Free, Bouygues Telecom) đến [bán lẻ](https://www.corbado.com/passkeys-for-e-commerce) tiêu dùng (ManoMano, Sport 2000). Bảng dưới đây tóm tắt phạm vi, năm và kết quả quy định; chi tiết về từng vụ việc và các phương pháp phòng ngừa sẽ được trình bày tiếp theo.

| #   | Công ty / Đơn vị                 | Năm | Hồ sơ hoặc Phạm vi               | Kết quả Quy định            |
| --- | -------------------------------- | ---- | ------------------------------ | ----------------------------- |
| 1   | France Travail                   | 2024 | Lên tới 43 triệu               | **Phạt 5 triệu EUR của CNIL (2026)**   |
| 2   | ManoMano                         | 2026 | Lên tới 37,8 triệu (tuyên bố)   | Đang được xem xét                  |
| 3   | Viamedis và Almerys             | 2024 | 33 triệu                     | CNIL đang điều tra    |
| 4   | Free / Free Mobile               | 2024 | 24,6 triệu (5,11 triệu IBAN)     | **Phạt 42 triệu EUR của CNIL (2026)**  |
| 5   | Cegedim Santé (MLM)              | 2025 | 15 triệu                     | Đã mở điều tra hình sự |
| 6   | France Travail (MOVEit)          | 2023 | 10 triệu                     | Không có án phạt riêng từ CNIL         |
| 7   | Bouygues Telecom                 | 2025 | 6,4 triệu (có IBAN)       | Đã thông báo cho CNIL và ANSSI       |
| 8   | Pass'Sport                       | 2025 | 6,4 triệu địa chỉ email    | Đã thông báo cho CNIL                 |
| 9   | Sport 2000                       | 2024 | 3,2 triệu                    | Được HIBP lập chỉ mục, đã thông báo cho CNIL   |
| 10  | Liên đoàn Bóng đá Pháp | 2025 | Khoảng 2,4 triệu thành viên được cấp phép | Đã thông báo cho CNIL                 |

### 3.1 Vụ Vi Phạm Dữ Liệu France Travail (2024)

![Logo France Travail](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/francetravail_d3254f1758.png)

| Chi tiết                  | Thông tin                                                                                                                                                                |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Ngày                     | Tháng 3 năm 2024                                                                                                                                                                 |
| Số lượng Khách hàng Bị ảnh hưởng | Lên tới 43 triệu                                                                                                                                                           |
| Dữ liệu Bị vi phạm            | - Họ tên đầy đủ<br/>- Ngày và nơi sinh<br/>- Số an sinh xã hội (NIR)<br/>- ID France Travail<br/>- Địa chỉ email<br/>- Địa chỉ bưu điện<br/>- Số điện thoại |

Vào tháng 3 năm 2024, France Travail (trước đây là Pôle Emploi) và Cap Emploi đã tiết lộ vụ việc hiện được coi là vụ vi phạm dữ liệu lớn nhất trong lịch sử nước Pháp. Những kẻ tấn công đã sử dụng **tấn công phi kỹ thuật** để chiếm quyền điều khiển tài khoản của các cố vấn Cap Emploi (tổ chức hỗ trợ người khuyết tật) và truy cập dữ liệu của tất cả những người đã đăng ký trong 20 năm qua, cũng như các ứng viên có hồ sơ trên francetravail.fr. Theo [CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail), lên tới 43 triệu người có thể đã bị ảnh hưởng.

Vào ngày 22 tháng 1 năm 2026, [CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail) đã phạt France Travail **5 triệu euro** theo Điều 32 của GDPR, trong đó mức tối đa theo luật định đối với một cơ quan công quyền là 10 triệu euro. Cơ quan quản lý đã trích dẫn sự "thiếu hiểu biết về các nguyên tắc bảo mật cơ bản" và yêu cầu thực hiện các biện pháp khắc phục dưới mức phạt 5.000 euro/ngày. Đây đã là vụ vi phạm thứ hai của France Travail: vào tháng 8 năm 2023, một sự cố bên thứ ba liên quan đến nhóm ransomware Cl0p khai thác lỗ hổng zero-day của MOVEit Transfer đã làm lộ dữ liệu của 10 triệu người dùng.

Các phương pháp phòng ngừa:

- Bắt buộc áp dụng MFA chống lừa đảo (passkeys) cho tất cả các tài khoản quản trị viên và cố vấn truy cập vào dữ liệu lớn của công dân
- Áp dụng tính năng phát hiện bất thường đối với các truy vấn hàng loạt và các quy tắc lưu giữ dữ liệu nghiêm ngặt đối với các cơ sở dữ liệu công dân

### 3.2 Vụ Vi Phạm Dữ Liệu ManoMano (2026)

![Logo ManoMano](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/manomano_6309bda5c8.png)

| Chi tiết                  | Thông tin                                                            |
| ------------------------ | ---------------------------------------------------------------------- |
| Ngày                     | Tháng 2 năm 2026                                                          |
| Số lượng Khách hàng Bị ảnh hưởng | Lên tới 37,8 triệu (tuyên bố)                                           |
| Dữ liệu Bị vi phạm            | - Dữ liệu danh tính<br/>- Chi tiết liên hệ<br/>- Thông tin hành chính |

Vào tháng 2 năm 2026, tập đoàn [thương mại điện tử](https://www.corbado.com/passkeys-for-e-commerce) tự làm (DIY) của Pháp, ManoMano, đã bị những kẻ tấn công (threat actors) nêu tên trong một đợt bán dữ liệu được tham chiếu trên nhiều trình theo dõi an ninh mạng của Pháp. Tác nhân này tuyên bố đã xâm phạm **lên tới 37,8 triệu hồ sơ khách hàng**, bao gồm dữ liệu danh tính, thông tin liên hệ và thông tin hành chính. Quy mô của tuyên bố này phù hợp với cơ sở người dùng EU tích lũy của nền tảng hơn là khách hàng Pháp đang hoạt động, nhưng sự cố này vẫn là một trong những đợt bán dữ liệu có khối lượng cao nhất liên quan đến Pháp từng được ghi nhận.

Sự cố phơi bày này nhấn mạnh cách các [thị trường](https://www.corbado.com/passkeys-for-e-commerce) tiêu dùng lớn ở Pháp cũng đã trở nên hấp dẫn đối với những kẻ tấn công tương tự như các ngân hàng hoặc các công ty viễn thông, đặc biệt là khi dữ liệu có thể được kết hợp với các rò rỉ trước đó để xây dựng "đồ thị nhận dạng" cho mục đích gian lận.

Các phương pháp phòng ngừa:

- Liên tục theo dõi các diễn đàn ngầm và các [thị trường](https://www.corbado.com/passkeys-for-e-commerce) vi phạm để tìm danh sách khách hàng bị lộ và áp dụng giới hạn tỷ lệ API nghiêm ngặt trên các điểm cuối của khách hàng
- Giảm thiểu việc lưu giữ các hồ sơ khách hàng lịch sử, ít hoạt động

### 3.3 Vụ Vi Phạm Dữ Liệu Viamedis và Almerys (2024)

| Chi tiết                  | Thông tin                                                                                                                                            |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Ngày                     | Tháng 1 - Tháng 2 năm 2024                                                                                                                                  |
| Số lượng Khách hàng Bị ảnh hưởng | 33 triệu                                                                                                                                             |
| Dữ liệu Bị vi phạm            | - Họ tên<br/>- Ngày sinh<br/>- Thông tin công ty bảo hiểm<br/>- Số an sinh xã hội<br/>- Tình trạng hôn nhân và dân sự<br/>- Quyền lợi thanh toán của bên thứ ba |

Vào tháng 1 và tháng 2 năm 2024, Viamedis và Almerys, hai bên xử lý [thanh toán](https://www.corbado.com/passkeys-for-payment) của bên thứ ba ở Pháp cho [bảo hiểm](https://www.corbado.com/passkeys-for-insurance) y tế bổ sung, đã liên tiếp bị xâm phạm. CNIL xác nhận rằng tổng hợp lại, các sự cố đã ảnh hưởng đến **33 triệu người, gần một nửa dân số nước Pháp**.

Cuộc xâm nhập Viamedis được bắt nguồn từ một **cuộc tấn công lừa đảo (phishing)** nhắm vào các chuyên gia chăm sóc sức khỏe, cho phép những kẻ tấn công sử dụng lại thông tin xác thực bị đánh cắp trên cổng thông tin nhà cung cấp. Almerys bị nghi ngờ là đã bị tấn công thông qua một cổng thông tin chuyên gia chăm sóc sức khỏe tương tự.

> "Đây là lần đầu tiên xảy ra một vụ vi phạm ở quy mô này." — Yann Padova, Cựu Tổng thư ký CNIL (2024)

Các phương pháp phòng ngừa:

- Triển khai MFA chống lừa đảo (passkeys) cho mọi chuyên gia chăm sóc sức khỏe truy cập dữ liệu thành viên được bảo hiểm
- Phân đoạn các nền tảng tiers-payant để một cổng thông tin bị xâm phạm không thể làm lộ toàn bộ cơ sở dữ liệu quốc gia

### 3.4 Vụ Vi Phạm Dữ Liệu Free (2024)

![Logo Free Mobile](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/free_d166ba4dc6.png)

| Chi tiết                  | Thông tin                                                                                                                             |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------- |
| Ngày                     | Tháng 10 năm 2024                                                                                                                            |
| Số lượng Khách hàng Bị ảnh hưởng | 24,6 triệu hợp đồng (19,46 triệu Free Mobile + 5,17 triệu Free), bao gồm 5,11 triệu IBAN                                                         |
| Dữ liệu Bị vi phạm            | - Họ tên đầy đủ<br/>- Địa chỉ email<br/>- Ngày sinh<br/>- Địa chỉ bưu điện<br/>- Số điện thoại<br/>- 5,11 triệu IBAN (Chỉ đối với Free) |

Vào tháng 10 năm 2024, Free (nhà cung cấp dịch vụ Internet lớn thứ hai của Pháp và là công ty con của tập đoàn Iliad) xác nhận rằng những kẻ tấn công đã xâm phạm một công cụ quản lý nội bộ và lấy cắp dữ liệu của **19,46 triệu hợp đồng Free Mobile và 5,17 triệu hợp đồng Freebox**, bao gồm **IBAN của toàn bộ 5,11 triệu khách hàng Freebox**. Dữ liệu này nhanh chóng được bán đấu giá trên BreachForums bởi một tác nhân độc hại được biết đến với tên "drussellx", với mức giá trúng thầu cuối cùng lên tới 175.000 euro.

Free nhấn mạnh rằng mật khẩu, dữ liệu thẻ [thanh toán](https://www.corbado.com/passkeys-for-payment) và nội dung liên lạc không bị ảnh hưởng, nhưng sự kết hợp giữa IBAN, họ tên đầy đủ và ngày sinh là đủ cho gian lận ghi nợ trực tiếp và các cuộc tấn công lừa đảo chất lượng cao. Vào ngày 13 tháng 1 năm 2026, [CNIL đã trừng phạt Free Mobile 27 triệu euro và Free 15 triệu euro](https://www.cnil.fr/en) (tổng cộng 42 triệu euro) vì bảo mật dữ liệu thuê bao không đầy đủ, một trong những lệnh trừng phạt GDPR tổng hợp lớn nhất từng được ban hành ở Pháp đối với một vụ vi phạm dữ liệu.

Các phương pháp phòng ngừa:

- Bảo vệ các công cụ nội bộ có đặc quyền bằng MFA chống lừa đảo và quyền truy cập đúng lúc (just-in-time access)
- Mã hóa (Tokenize) IBAN và các định danh thanh toán để hồ sơ thuê bao không thể kiếm tiền trực tiếp được

### 3.5 Vụ Vi Phạm Dữ Liệu Cegedim Santé (MLM) (2025)

![Logo Cegedim](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/cegedim_920112c77d.png)

| Chi tiết                  | Thông tin                                                                                              |
| ------------------------ | -------------------------------------------------------------------------------------------------------- |
| Ngày                     | Tháng 10 năm 2025                                                                                             |
| Số lượng Khách hàng Bị ảnh hưởng | Khoảng 15 triệu bệnh nhân                                                                        |
| Dữ liệu Bị vi phạm            | - Dữ liệu bệnh nhân hành chính (họ, tên, giới tính, v.v.)<br/>- 19 triệu hồ sơ trong 15 năm |

Vào tháng 10 năm 2025, những kẻ tấn công đã xâm nhập "MonLogicielMedical.com" (MLM), một phần mềm quản lý phòng khám y tế được biên tập bởi [Cegedim Santé](https://www.cegedim.com/) và được hàng ngàn chuyên gia chăm sóc sức khỏe Pháp sử dụng. Theo Bộ Y tế Pháp, vụ việc này đã làm rò rỉ **dữ liệu hành chính của khoảng 15 triệu bệnh nhân Pháp**, kéo dài suốt 15 năm lịch sử và 19 triệu dòng hồ sơ kỹ thuật số.

Trong lời đính chính vào tháng 2 năm 2026, Cegedim Santé tuyên bố rằng dữ liệu liên quan **hoàn toàn mang tính hành chính** (thông tin loại danh tính như họ, tên và giới tính), và hồ sơ lâm sàng có cấu trúc, nhận xét y tế dạng văn bản tự do và chẩn đoán nhạy cảm như tình trạng HIV **không** liên quan. Một cuộc điều tra hình sự vì "vi phạm hệ thống dữ liệu tự động" đã được mở vào ngày 27 tháng 10 năm 2025.

> "Có khả năng đây là vụ rò rỉ lớn nhất trong lịch sử y tế Pháp." — Gérôme Billois, chuyên gia an ninh mạng tại Wavestone (Tháng 10 năm 2025)

Các phương pháp phòng ngừa:

- Bắt buộc xác thực mạnh mẽ (passkeys) đối với mọi bác sĩ truy cập phần mềm y tế đám mây
- Áp dụng nghiêm ngặt nguyên tắc tối giản hóa dữ liệu và phân tách giữa dữ liệu danh tính hành chính và hồ sơ lâm sàng trong các nền tảng y tế SaaS

### 3.6 Vụ Vi Phạm MOVEit của France Travail (2023)

![Logo France Travail](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/francetravail_d3254f1758.png)

| Chi tiết                  | Thông tin                                                      |
| ------------------------ | ---------------------------------------------------------------- |
| Ngày                     | Tháng 8 năm 2023                                                      |
| Số lượng Khách hàng Bị ảnh hưởng | Khoảng 10 triệu                                         |
| Dữ liệu Bị vi phạm            | - Họ tên đầy đủ<br/>- Số an sinh xã hội<br/>- Chi tiết liên hệ |

Trước khi xảy ra sự cố gây xôn xao dư luận năm 2024, France Travail đã là nạn nhân của một vụ vi phạm do bên thứ ba liên quan đến nhóm ransomware Cl0p khai thác lỗ hổng zero-day trong phần mềm Progress MOVEit Transfer. Vụ tấn công này làm lộ thông tin cá nhân của khoảng **10 triệu người tìm việc**, bao gồm tên, số NIR và chi tiết liên hệ. Đây là một phần của làn sóng tấn công chuỗi cung ứng MOVEit toàn cầu đã ảnh hưởng đến hàng trăm tổ chức trên toàn thế giới và báo trước vụ vi phạm thậm chí còn lớn hơn vào năm 2024 đối với chính cơ quan này.

Các phương pháp phòng ngừa:

- Duy trì danh sách kiểm kê cập nhật đối với phần mềm chuyển file của bên thứ ba tiếp xúc với internet và áp dụng vá lỗi ảo cho các khung thời gian zero-day
- Phân tách các đường ống truyền file khỏi cơ sở dữ liệu nhân sự cốt lõi và dữ liệu công dân

### 3.7 Vụ Vi Phạm Dữ Liệu Bouygues Telecom (2025)

![Logo Bouygues Telecom](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/bouygues_d1a6afded7.png)

| Chi tiết                  | Thông tin                                                                                                  |
| ------------------------ | ------------------------------------------------------------------------------------------------------------ |
| Ngày                     | Tháng 8 năm 2025                                                                                                  |
| Số lượng Khách hàng Bị ảnh hưởng | 6,4 triệu                                                                                                  |
| Dữ liệu Bị vi phạm            | - Họ tên đầy đủ<br/>- Địa chỉ bưu điện<br/>- Số điện thoại<br/>- Ngày sinh<br/>- Dữ liệu hợp đồng<br/>- IBAN |

Vào ngày 4 tháng 8 năm 2025, Bouygues Telecom, một trong những nhà mạng di động lớn của Pháp với khoảng 14,5 triệu thuê bao di động và tổng cơ sở khách hàng khoảng 23 triệu, đã phát hiện một cuộc tấn công mạng nhằm vào hệ thống quản lý khách hàng. Hai ngày sau, công ty xác nhận rằng những kẻ tấn công đã truy cập vào dữ liệu cá nhân và hợp đồng của **6,4 triệu khách hàng**, bao gồm cả IBAN. Mật khẩu và số thẻ thanh toán không bị xâm phạm.

Vụ vi phạm, được cho là bắt nguồn từ một nhà cung cấp bên thứ ba, đã được báo cáo cho CNIL và ANSSI. Theo [Điều 323-1 của Bộ luật Hình sự Pháp](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/), kẻ tấn công phải đối mặt với mức án lên tới ba năm tù vì truy cập trái phép vào hệ thống xử lý dữ liệu tự động, tăng lên thành năm năm nếu dữ liệu bị thay đổi hoặc hệ thống bị suy yếu. Bản thân Bouygues Telecom phải đối mặt với sự xem xét kỹ lưỡng theo GDPR từ CNIL về quản lý rủi ro bên thứ ba. Sự cố này là một phần của xu hướng rộng lớn hơn cũng đã tấn công SFR (tháng 9 năm 2025, thông tin chi tiết [ngân hàng](https://www.corbado.com/passkeys-for-banking)) và Free vào các năm 2024-2025.

Các phương pháp phòng ngừa:

- Xử lý các nhà cung cấp bên thứ ba như một phần của bề mặt tấn công cốt lõi và yêu cầu MFA chống lừa đảo trên tất cả các hệ thống được kết nối
- Mã hóa IBAN và các định danh thanh toán khác để giới hạn giá trị của việc đánh cắp dữ liệu hàng loạt

### 3.8 Vụ Vi Phạm Dữ Liệu Pass'Sport (Tháng 12 năm 2025)

![Logo Pass'Sport](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/passsport_c10a1e5abd.png)

| Chi tiết                  | Thông tin                                                                                |
| ------------------------ | ------------------------------------------------------------------------------------------ |
| Ngày                     | Tháng 12 năm 2025                                                                              |
| Số lượng Khách hàng Bị ảnh hưởng | 3,5 triệu hộ gia đình (6,4 triệu địa chỉ email duy nhất)                                |
| Dữ liệu Bị vi phạm            | - Danh tính của người thụ hưởng và phụ huynh<br/>- Chi tiết liên hệ<br/>- Thông tin hành chính |

Pass'Sport là một chương trình của [chính phủ](https://www.corbado.com/passkeys-for-public-sector) Pháp do Bộ Thể thao điều hành, cung cấp **khoản trợ cấp 70 euro** (trước đây là 50 euro) cho những người trẻ đủ điều kiện để làm thẻ thành viên câu lạc bộ thể thao. Vào đêm 17-18 tháng 12 năm 2025, một tệp dung lượng 15 GB chứa hơn 22 triệu dòng dữ liệu đã xuất hiện trực tuyến. Các báo cáo truyền thông ban đầu đã quy vụ rò rỉ này cho Quỹ Trợ cấp Gia đình (Caisse d'Allocations Familiales - CAF), nhưng tổ chức này đã công khai phủ nhận bất kỳ vụ xâm nhập nào vào caf.fr. Bộ Thể thao sau đó đã xác nhận rằng dữ liệu bắt nguồn từ **hệ thống thông tin Pass'Sport**, bao gồm khoảng **3,5 triệu hộ gia đình và 6,4 triệu địa chỉ email duy nhất** của những người thụ hưởng, cha mẹ hoặc người giám hộ của họ.

Hồ sơ bị phơi bày bao gồm giai đoạn từ tháng 9 năm 2024 đến tháng 11 năm 2025 và bao gồm đầy đủ danh tính, địa chỉ bưu điện, số điện thoại và địa chỉ email, nhưng không có dữ liệu [ngân hàng](https://www.corbado.com/passkeys-for-banking) hay mật khẩu. Tập dữ liệu này đặc biệt có giá trị đối với các cuộc lừa đảo nhắm mục tiêu (targeted phishing) nhắm vào các gia đình có trẻ vị thành niên và phần lớn dữ liệu này kể từ đó đã được lập chỉ mục trong [Have I Been Pwned](https://haveibeenpwned.com/).

Các phương pháp phòng ngừa:

- Áp dụng các biện pháp bảo vệ nghiêm ngặt nhất có thể cho các hệ thống xử lý dữ liệu của trẻ vị thành niên, bao gồm cả bắt buộc MFA chống lừa đảo đối với quản trị viên
- Giảm thiểu thời gian lưu giữ dữ liệu của người thụ hưởng sau khi chương trình hết hạn

### 3.9 Vụ Vi Phạm Dữ Liệu Sport 2000 (2024)

| Chi tiết                  | Thông tin                                                                                                                         |
| ------------------------ | ----------------------------------------------------------------------------------------------------------------------------------- |
| Ngày                     | Tháng 4 năm 2024                                                                                                                          |
| Số lượng Khách hàng Bị ảnh hưởng | 3,2 triệu địa chỉ email duy nhất (4,4 triệu hồ sơ)                                                                            |
| Dữ liệu Bị vi phạm            | - Họ tên đầy đủ<br/>- Địa chỉ email<br/>- Số điện thoại<br/>- Địa chỉ bưu điện<br/>- Ngày sinh<br/>- Lịch sử mua hàng tại từng cửa hàng |

Vào tháng 4 năm 2024, nhà bán lẻ đồ thể thao Pháp **Sport 2000** đã bị vi phạm dữ liệu, sau đó được [lập chỉ mục bởi Have I Been Pwned](https://haveibeenpwned.com/Breach/Sport2000). Một tác nhân đe dọa hoạt động dưới bí danh "ChatNoir7331" đã rao bán một cơ sở dữ liệu gồm **4,4 triệu hàng với 3,2 triệu địa chỉ email duy nhất** trên một diễn đàn hacker, và tập dữ liệu này sau đó đã được đăng tải lại miễn phí vào tháng 6 năm 2024. Vụ rò rỉ bao gồm tên, địa chỉ email và địa chỉ bưu điện, số điện thoại, ngày sinh và lịch sử mua hàng chi tiết được liên kết với các địa điểm cửa hàng cụ thể.

Sự kết hợp giữa dữ liệu liên hệ và lịch sử mua hàng theo cửa hàng khiến rò rỉ của Sport 2000 đặc biệt hữu ích cho việc lừa đảo có mục tiêu cao ("việc mua hàng gần đây của bạn tại Sport 2000 Lyon...") và cho thấy cách các nhà bán lẻ quy mô vừa của Pháp có thể tạo ra các vụ vi phạm quy mô người tiêu dùng khi cơ sở dữ liệu tiếp thị được phân đoạn kém.

Các phương pháp phòng ngừa:

- Phân đoạn các cơ sở dữ liệu tiếp thị và giao dịch, đồng thời luân chuyển các mã thông báo truy cập (access tokens) được sử dụng bởi các công cụ tiếp thị của bên thứ ba
- Giảm thiểu việc lưu giữ lịch sử mua hàng gắn liền với các khách hàng có thể định danh

### 3.10 Vụ Vi Phạm Dữ Liệu Liên đoàn Bóng đá Pháp (2025)

![Logo FFF](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/fff_small_0465e008b5.png)

| Chi tiết                  | Thông tin                                                                          |
| ------------------------ | ------------------------------------------------------------------------------------ |
| Ngày                     | 2025                                                                                 |
| Số lượng Khách hàng Bị ảnh hưởng | Khoảng 2,4 triệu thành viên được cấp phép                                           |
| Dữ liệu Bị vi phạm            | - Danh tính thành viên<br/>- Ngày sinh<br/>- Chi tiết liên hệ<br/>- Số giấy phép |

Năm 2025, [Liên đoàn Bóng đá Pháp (Fédération Française de Football - FFF)](https://www.fff.fr/) đã tiết lộ một vụ vi phạm làm lộ dữ liệu cá nhân của các thành viên được cấp phép. FFF công bố có khoảng **2,38 triệu thành viên được cấp phép** cho mùa giải 2023-2024. Theo thông báo "vol de données" (đánh cắp dữ liệu) của chính FFF, sự cố này bao gồm dữ liệu danh tính và liên hệ (tên, ngày sinh, số giấy phép và một số giấy tờ tùy thân) và **đặc biệt loại trừ dữ liệu sức khỏe**. Sự cố của FFF là một phần của làn sóng cũng đã tấn công Liên đoàn Cử tạ Pháp (Fédération Française de Voile), Liên đoàn Thể dục dụng cụ Pháp (Fédération Française de Gymnastique), Liên đoàn Bắn súng Pháp (Fédération Française de Tir) và các tổ chức khác, khẳng định rằng các liên đoàn thể thao Pháp là một mục tiêu hấp dẫn vì bộ dữ liệu lịch sử lưu trữ lớn và ngân sách bảo mật CNTT tương đối yếu.

Các phương pháp phòng ngừa:

- Ưu tiên đầu tư vào an ninh mạng tại các liên đoàn và các tổ chức phi lợi nhuận sở hữu dữ liệu thành viên lưu trữ hàng chục năm
- Xóa bỏ các hồ sơ lịch sử không còn cần thiết cho việc vận hành giấy phép

## 4. Cách Báo Cáo Vi Phạm Dữ Liệu Ở Pháp

Các bộ phận kiểm soát dữ liệu tại Pháp phải báo cáo vụ vi phạm dữ liệu cá nhân cho [CNIL](https://www.cnil.fr/en) trong vòng **72 giờ** kể từ khi nhận thức được điều đó, theo Điều 33 của GDPR. Nếu vi phạm có khả năng dẫn đến rủi ro cao cho các cá nhân bị ảnh hưởng, Điều 34 của GDPR yêu cầu thông báo cho họ mà không chậm trễ quá mức. Các nhà điều hành có tầm quan trọng sống còn (OIV) và các nhà điều hành dịch vụ thiết yếu (OSE) cũng phải thông báo cho [ANSSI](https://www.ssi.gouv.fr/en/); việc chuyển đổi đầy đủ chỉ thị NIS2 thành luật quốc gia Pháp vẫn đang tiếp diễn vào năm 2026.

### 4.1 Quy tắc 72 Giờ của GDPR (Điều 33)

Theo [Điều 33 của GDPR](https://gdpr-info.eu/art-33-gdpr/), bộ phận kiểm soát dữ liệu phải báo cáo với CNIL về vụ vi phạm dữ liệu cá nhân **không chậm hơn 72 giờ** sau khi nhận thức được. Nếu thông báo bị trễ, đơn vị kiểm soát phải cung cấp lý do cho sự chậm trễ. Thông báo phải mô tả bản chất của vi phạm, phân loại và số lượng cá nhân bị ảnh hưởng gần đúng, hậu quả có thể xảy ra và các biện pháp đã thực hiện hoặc đề xuất.

### 4.2 Cơ quan Có Thẩm Quyền: CNIL

Không giống như 16 cơ quan bảo vệ dữ liệu (DPA) cấp bang của Đức, Pháp có một cơ quan giám sát quốc gia duy nhất: **Ủy ban Quốc gia về Tin học và Tự do (CNIL)**. CNIL thực thi GDPR cho cả khu vực công và khu vực tư nhân, có quyền áp đặt khoản phạt hành chính lên tới 20 triệu euro hoặc 4% doanh thu hàng năm toàn cầu, tùy theo số nào lớn hơn. Các khoản phạt chung kỷ lục gần đây đối với Free Mobile và Free (42 triệu euro, trong đó 27 triệu phạt Free Mobile) và France Travail (5 triệu euro) cho thấy CNIL đã chuyển từ cảnh báo sang thực thi mang tính trừng phạt.

### 4.3 Báo cáo ANSSI đối với OIV, OSE và NIS2

Các nhà điều hành có tầm quan trọng sống còn (**OIV**) và nhà điều hành các dịch vụ thiết yếu (**OSE**) cũng phải báo cáo các sự cố an ninh mạng quan trọng cho [ANSSI](https://www.ssi.gouv.fr/en/), cơ quan an ninh mạng quốc gia Pháp. Chỉ thị NIS2 mở rộng việc báo cáo bắt buộc đến nhiều lĩnh vực hơn, bao gồm các nhà cung cấp dịch vụ số, sản xuất và quản lý chất thải. Việc chuyển đổi vào luật pháp Pháp vẫn đang diễn ra vào năm 2026, và ANSSI đã tuyên bố rằng họ sẽ giao tiếp trong suốt quá trình này; Ủy ban Châu Âu cũng đã ban hành một ý kiến có cơ sở về việc chuyển đổi chưa hoàn thiện. Khi đã có hiệu lực, báo cáo sẽ tuân theo một mốc thời gian theo từng giai đoạn: **cảnh báo sớm trong 24 giờ, báo cáo đầy đủ trong vòng 72 giờ** và báo cáo hoàn chỉnh cuối cùng trong một tháng.

### 4.4 Thông Báo Cho Cá Nhân (Điều 34)

Khi một vụ vi phạm có thể dẫn đến rủi ro cao cho các quyền và tự do của các cá nhân, [Điều 34 của GDPR](https://gdpr-info.eu/art-34-gdpr/) yêu cầu thông báo trực tiếp đến các cá nhân bị ảnh hưởng bằng ngôn ngữ rõ ràng, dễ hiểu. Vụ việc của France Travail, Viamedis, Free và Cegedim Santé đều kích hoạt các nghĩa vụ của Điều 34. Không thông báo là nguyên nhân phổ biến kích hoạt các khoản phạt quy định bổ sung ngoài bản thân vi phạm ban đầu.

## 5. Xu Hướng Vi Phạm Dữ Liệu Tại Pháp

Bốn mẫu số chung được lặp lại qua mười vụ việc là: sự tập trung dữ liệu công dân vào lĩnh vực [công](https://www.corbado.com/passkeys-for-public-sector) đã được số hóa cao, các sự cố về bên thứ ba và chuỗi cung ứng là điểm tiếp cận phổ biến nhất, tấn công nhồi thông tin xác thực (credential stuffing) biến các cổng thông tin công cộng của Pháp thành mục tiêu dễ tiếp cận, và CNIL hiện đang nhanh chóng bắt kịp về vấn đề thực thi chế tài. Hiểu được các xu hướng này sẽ mang lại tính thực tiễn hơn là việc chỉ ghi nhớ từng vụ việc đơn lẻ.

### 5.1 Số Hóa Khu Vực Công Tạo Ra Bề Mặt Tấn Công Quy Mô Quốc Gia

France Travail, OFII, FICOBA và Pass'Sport cho thấy lượng dữ liệu công dân rất lớn được tập trung trong một vài nền tảng công cộng. Một tài khoản cố vấn tại Cap Emploi bị xâm phạm đã đủ để làm lộ 43 triệu hồ sơ; một tích hợp với đối tác của Pass'Sport bị rò rỉ là đủ để phơi bày 3,5 triệu hộ gia đình. Sự phụ thuộc của Pháp vào **FranceConnect** và thông tin đăng nhập dịch vụ công dùng chung làm trầm trọng thêm rủi ro này: một mật khẩu bị lộ duy nhất liên kết với NIR có thể mở khóa nhiều dịch vụ công cùng một lúc.

### 5.2 Nhà Cung Cấp Bên Thứ Ba Là Khâu Yếu Nhất Trong Chuỗi

Viamedis, Almerys, Cegedim Santé, Bouygues Telecom và vụ vi phạm MOVEit năm 2023 của France Travail đều có chung một nguyên nhân gốc rễ: rò rỉ tại một bên thứ ba, không phải tại thương hiệu chính. Ngay cả các tổ chức có hệ thống bảo mật nội bộ trưởng thành cũng vẫn dễ bị ảnh hưởng bởi mạng lưới các đối tác cung cấp của họ. Mô hình bảo hiểm sức khỏe thanh toán qua bên thứ ba (tiers-payant), nơi mà một vài đơn vị xử lý phục vụ hàng chục bảo hiểm mutuelle, là đặc biệt dễ bị đe dọa với vi phạm điểm-nghẽn-đơn (single-point-of-failure).

### 5.3 Tấn Công Nhồi Thông Tin Xác Thực Biến Cổng Công Cộng Thành Mục Tiêu Dễ Bị Tấn Công

Tấn công nhồi thông tin xác thực (credential stuffing) đã trở thành hình thức tấn công theo sau (follow-up attack) được coi là mặc định cho hầu hết các vụ vi phạm ở Pháp. Tháng 2 năm 2024, nhóm hacker LulzSec tuyên bố đã có quyền truy cập vào **lên tới 600,000 tài khoản CAF** hoàn toàn thông qua việc tận dụng mật khẩu tái sử dụng mà không xâm phạm kỹ thuật caf.fr. Việc phát hiện 60.369 bộ thông tin đăng nhập CAF khác (NIR + mật khẩu) sau đó bị tiết lộ trên một diễn đàn của hacker vào tháng 8 năm 2024. Cứ mỗi lần các dịch vụ công Pháp sử dụng đăng nhập thông qua mật khẩu, các vụ vi phạm tại các nơi khác ở Châu Âu đều gia tăng tần suất tấn công nhồi thông tin xác thực nhắm vào họ.

### 5.4 CNIL Đang Thắt Chặt Việc Xử Phạt

Tính đến tháng 1 năm 2026, CNIL đã chuyển từ cảnh cáo sang chế tài có tính răn đe thực tế. Ngày 13 tháng 1 năm 2026, Free Mobile và Free đã bị phạt tổng cộng **42 triệu euro** (27 triệu phạt đối với Free Mobile và 15 triệu phạt đối với Free), và France Travail đã bị phạt **5 triệu euro** vào ngày 22 tháng 1 năm 2026 theo Điều 32 GDPR (giới hạn trên theo luật định cho tổ chức công là 10 triệu euro). Xét về mặt lịch sử, mức phạt trung bình của CNIL luôn dưới hạn mức trần của GDPR. Khi kết hợp cùng loạt khởi kiện tập thể để đền bù theo Điều 82, giờ đây Pháp đã dịch chuyển sang quy mô hình phạt tương đương như Đức, Hà Lan và Ireland.

## 6. Kết Luận

10 vụ rò rỉ vi phạm lớn nhất tại Pháp mang đến chung một kịch bản rõ ràng: thông tin đăng nhập và truy cập của bên thứ ba chính là mẫu số chung. Các tài khoản cố vấn bị tấn công thao túng ở France Travail, nạn lừa đảo y bác sĩ trong hệ thống Viamedis, bộ phần mềm nội bộ bị rò rỉ của Free, lỗ hổng tích hợp hệ thống ở hệ thống của Pass'Sport, cùng bên cung cấp bên thứ ba của nhà mạng Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom) đều trở về với một khuyết điểm giống nhau: xác thực của các nhân sự và các nhà cung cấp sử dụng mật khẩu đối với những hệ thống lưu lại hàng chục năm nguồn dữ liệu công dân.

Các phương pháp đề phòng cũng rất chung: thiết lập cơ chế xác thực kháng phising như là passkeys, thiết lập quyền kiểm soát nghiêm ngặt truy cập bên thứ ba, thường xuyên tìm kiếm rà soát ở các vùng web ngầm (dark web) cùng tính phản hồi tức thì về sự cố đến CNIL chỉ trong 72 giờ đồng hồ. Cùng với việc CNIL đưa ra các hạn mức phạt lên tới 8 và 9 chữ số, các doanh nghiệp tại Pháp cần lưu ý vấn đề này ở mức ưu tiên hàng đầu trong các hội đồng cấp cao trong năm 2026 nhằm né tránh chế tài cùng thiệt hại hình ảnh lớn đã đeo bám hệ thống rò rỉ dữ liệu của nước này suốt ba năm liền.

## Những Câu Hỏi Thường Gặp

### Vụ vi phạm dữ liệu France Travail vào năm 2024 là gì?

Vào tháng 3 năm 2024, France Travail (trước đây là Pôle Emploi) và Cap Emploi đã báo cáo vụ vi phạm dữ liệu lớn nhất trong lịch sử nước Pháp. Kẻ gian đã lợi dụng những thủ đoạn lừa đảo thao túng tài khoản chuyên viên tại Cap Emploi qua đó truy cập đến danh tính cá nhân lên tới 43 triệu người tìm việc xuyên suốt 20 năm, bao gồm tên tuổi, ngày sinh, số BHXH, danh tính mã truy cập France Travail. Vào ngày 22 tháng 1 năm 2026, CNIL đã thông báo phạt 5 triệu euro lên France Travail theo Điều 32 của GDPR, trong khi quy chuẩn giới hạn cho một tổ chức ở bộ máy nhà nước tối đa là 10 triệu euro.

### Bạn sẽ báo cáo vi phạm dữ liệu ở Pháp như thế nào?

Theo Điều 33 của GDPR, các tổ chức lưu trữ thông tin có quyền quản lý phải báo cáo lên CNIL trong 72 giờ kể từ lúc có nhận thức dữ liệu cá nhân bị xâm phạm. Nếu lỗ hổng rò rỉ thông tin cá nhân được xác minh với tỉ lệ tổn hại lớn, vào Điều 34, tổ chức có trách nhiệm phản hồi cho cá nhân đó sớm nhất có thể. Trong điều kiện về OIV cùng OSE tại quốc gia, pháp luật sẽ buộc họ báo cáo bổ sung tới tổ chức ANSSI; luật mới để chuyển thể toàn bộ quy chế theo chuẩn chỉ định an ninh thông tin NIS2 đang diễn ra với tiến trình dự đoán đến 2026.

### Khoản phạt lớn nhất nào từ CNIL được công bố về rò rỉ dữ liệu tại Pháp?

Trong ngày 13 tháng 1 năm 2026, tổ chức CNIL đã liên minh ra án phạt tới mốc 42 triệu euro (hướng tới phạt 27 triệu euro đối với Free Mobile và 15 triệu đối với Free) vì một bộ hạ tầng an ninh kém hệ quả vào đợt rò rỉ dữ liệu 24,6 triệu hợp đồng năm 2024, kéo theo rò rỉ của 5,11 triệu tài khoản ngân hàng IBAN. Với quyết định này, hình phạt kết hợp theo tiêu chuẩn GDPR trở thành lớn nhất tại Pháp cho vụ tấn công mạng. Đồng thời với đó tổ chức France Travail bị tuyên án 5 triệu euro vào 22/01/2026 trong hệ thống nghị định số 32.

### Vì sao Pháp lại trở thành mục tiêu ưu tiên trong vấn đề rò rỉ dữ liệu cá nhân?

Nước Pháp với một khu vực hành chính công quyền được điện tử hóa ở mức độ lớn (France Travail, CAF, DGFiP, OFII) cùng sự phân bổ quy mô về giải pháp chi trả chăm sóc y tế dày đặc (Viamedis, Almerys, Cegedim) ngoài ra 3 nhà cung cấp mạng phân bổ quản lý hàng chục triệu bản ghi thuê bao riêng rẽ. Tỷ lệ tăng trưởng chưa có ưu tiên phù hợp với các rào chắn kỹ thuật về ANM (so với GDP) với điểm tựa nền tảng thuộc 3rd party, tấn công xã hội hướng trực diện cố vấn viên chính là những nguyên do khiến số lượt phơi bày rò rỉ của người dân Pháp chạm kỷ lục 145 triệu người vào hai năm (2024 - 2025).

### Cách thức dữ liệu của Pháp làm công cụ nuôi dưỡng những chuỗi khai thác credential stuffing là gì?

Các chiến lược lấy thông tin như phơi bày email tài khoản, chuỗi hồ sơ số thẻ BHYT, mật khẩu bảo mật đăng nhập bị lan truyền trên chợ đen web (dark web). Chuỗi phơi bày đăng nhập này lại hướng trực tiếp tiếp cận đến những tổ hợp nền tảng bán lẻ hoặc các quỹ hành chính công. Đây được minh chứng rất rõ thông qua hệ thống bị tấn công quy mô 600000 người dùng bởi phương pháp credential stuffing đối với cổng CAF, khi mã độc chạy toàn bộ trong lúc không thể truy xuất kỹ thuật về trang mạng caf.fr. Việc tái lập sử dụng chứng chỉ thông tin cá nhân đã và vẫn tiếp tục kích thích chuỗi hacker tận dụng kể từ sau biến cố phơi bày.