2026年4月15日，法国国家安全证件署（ANTS）遭受大规模数据泄露。根据内政部官方数据，约有1170万个账户受到影响。然而，一名自称"breach3d"的黑客在网络犯罪论坛上将该数据库挂牌出售，声称实际数量可能高达1800至1900万条记录。这是一次前所未有的网络攻击，直接波及数百万曾在线办理行政手续（护照、身份证、驾照）的法国公民。

究竟发生了什么？

ANTS管理着门户网站ants.gouv.fr，这是法国所有安全证件申请的官方平台。每年，数百万公民在此创建账户，用于跟踪其身份证、护照或驾照的申请进度。

被利用的漏洞属于IDOR（不安全的直接对象引用）类型，是一种极为隐蔽的安全缺陷。攻击者只需修改发送至API请求中的数字标识符，无需任何授权验证，即可访问其他用户的数据。换句话说，仅需更改URL中的一个数字，就能读取数百万其他用户的个人信息。

这类漏洞在安全专家中广为人知，但遗憾的是，在公共信息系统中仍然过于普遍。CNIL（法国数据保护局）已立即收到通知，相关报告已提交巴黎检察长办公室。调查工作已移交网络犯罪打击办公室（OFAC）负责。

哪些数据被盗？

泄露的信息尤为敏感，因为它结合了民事状态数据和个人联系方式：

• 姓名
• 出生日期
• 邮政地址
• 电子邮件地址
• 电话号码

这些信息足以构建高度针对性的诈骗。综合利用后，可实现身份盗窃、超精准网络钓鱼攻击（伪造短信、伪装成官方机构的假冒邮件），甚至尝试欺诈性开立银行账户或申请网络贷款。

我是否受到影响？

如果您曾在ants.gouv.fr上创建过账户以申请身份证、护照或驾照，您很可能是受影响人群之一。ANTS宣布将向已被确认账户遭入侵的用户发送直接通知。

您还可以通过Have I Been Pwned（haveibeenpwned.com）等专业平台，查看您的电子邮件地址是否出现在已知被黑数据库中。

应立即采取的措施

面对此次数据泄露，请立即采取以下具体行动：

1. 更改您的ANTS密码

请访问ants.gouv.fr并更改密码。如果您在其他网站使用了相同密码（不建议这样做），请全部修改。同时建议在所有可能的地方开启双重认证（2FA）。

2. 对收到的信息保持高度警惕

未来数周内，请谨慎对待任何声称来自ANTS、税务局、银行或电话运营商的电子邮件、短信或电话。黑客会将这些数据出售给专门从事网络钓鱼的诈骗者。一封包含您姓名、地址和电话号码的精准邮件可能看起来非常官方。

黄金法则：任何官方机构都不会通过短信或电子邮件要求您提供密码、银行信息或进行转账。

3. 监控您的数字身份

Cybermalveillance.gouv.fr等服务为网络攻击受害者提供免费资源。此外还有身份欺诈尝试预警服务。

4. 举报任何诈骗企图

如果您收到可疑信息，或认为自己是与此次黑客攻击相关的诈骗受害者，请通过cybermalveillance.gouv.fr或thesee.interieur.gouv.fr（官方网络诈骗举报平台）直接向警方举报。

从这次网络攻击中应汲取哪些教训？

这次大规模数据泄露提醒我们一个令人不安的现实：即便是政府平台也无法免于网络攻击。被利用的IDOR漏洞在OWASP Top 10等安全标准中已有多年记录。该漏洞存在于管理数百万法国公民身份证件的服务中，对此前的安全审计提出了严重质疑。

这也凸显了每位公民都需要养成扎实的数字卫生习惯：使用唯一且复杂的密码、开启双重认证、对未经请求的信息保持警惕。在数据流转于各个服务器之间的世界里，数字安全意识不再是可选项，而是必需品。

司法调查正在进行中。未来数周内，内政部官网及ants.gouv.fr将定期发布最新进展。