Французская федерация баскетбола (FFBB) подтвердила, что стала объектом кибератаки, что привело к несанкционированному доступу к значительной части ее базы данных лицензиатов. Инцидент был обнаружен и подтвержден вечером пятницы, 17 апреля 2026 года. Сразу же была сформирована кризисная группа для установления источника атаки, обеспечения безопасности затронутых систем и минимизации дальнейших рисков.
Расследование показало, что мошеннический доступ к учетной записи пользователя позволил злоумышленникам использовать федеральный инструмент управления лицензиатами через модуль управления выпуском. В результате была осуществлена несанкционированная выгрузка персональных данных, которая могла затронуть до 2 миллионов лицензиатов, а также около 900 000 дополнительных данных, касающихся законных представителей лицензиатов.
Извлеченные данные включают исключительно информацию для идентификации (фамилия, имя, дата рождения), контактные данные (почтовый адрес, адрес электронной почты и номер телефона), а также данные о лицензии и членстве в клубе. Их конфиденциальность нарушена: они были раскрыты, по крайней мере частично, в доступных для злоумышленников разделах даркнета. Важно отметить, что **никакие банковские данные, пароли или конфиденциальные медицинские данные не были скомпрометированы.**
Злоумышленник, ответственный за атаку, был идентифицирован и арестован 21 апреля 2026 года компетентными органами. К этому моменту файлы, размещенные в даркнете, были удалены и сделаны недоступными. Однако существует вероятность, что другие лица могли получить доступ, загрузить или сохранить часть этих данных до их удаления, поскольку они могли распространиться в различных онлайн-пространствах. Таким образом, существует риск, что эти данные могут быть использованы в целях, отличных от тех, для которых они были предоставлены.
FFBB особенно предупреждает о рисках, связанных с фишингом и целевым фишингом (spear phishing), которым могут подвергнуться пользователи. Злоумышленники могут попытаться выдать себя за FFBB и попытаться получить дополнительную информацию (например, учетные данные, банковскую информацию). Рекомендуется проявлять максимальную бдительность при получении сообщений от неизвестных отправителей.
В случае подозрения на неправомерное использование ваших данных (спам по электронной почте и SMS, подозрительные ссылки, запросы конфиденциальной информации) рекомендуется проверять подлинность отправителя и сообщать о таких случаях на платформе: https://www.cybermalveillance.gouv.fr/.
При возникновении сомнений в ходе общения с FFBB, вы можете проверить, соответствует ли доменное имя @ffbb.com, или напрямую связаться со службой по адресу: mesdonneesffbb@ffbb.com.
Службы FFBB, адвокат федерации и инспектор по защите данных в настоящее время предпринимают необходимые шаги для подачи заявления и гражданского иска в рамках открытого судебного разбирательства. Кроме того, уведомление о нарушении данных было направлено в Национальную комиссию по информатике и свободам (CNIL) в соответствии с требованиями Общего регламента по защите данных (RGPD). Национальное агентство по безопасности информационных систем (ANSSI) также было проинформировано об инциденте.
Дополнительную информацию можно получить, обратившись в специально назначенный контактный пункт по электронной почте: mesdonneesffbb@ffbb.com.
FFBB заверяет, что данный инцидент воспринимается всеми ее службами с максимальной серьезностью, и управление последствиями этой кибератаки является приоритетом.
