Eurofiber France: kradzież danych po włamaniu do platformy ticketowej i portalu ATE

Wprowadzenie do problemu / definicja luki

Eurofiber France (część Eurofiber Group) potwierdził incydent bezpieczeństwa wykryty 13 listopada 2025 r.. Atakujący wykorzystał podatność w oprogramowaniu obsługującym platformę zarządzania zgłoszeniami (ticketing/ITSM) oraz portal klienta ATE i wyprowadził dane przechowywane w tych systemach. Firma wskazuje, że zdarzenie ogranicza się do działalności we Francji (w tym marek: Eurafibre, FullSave, Netiwan, Avelia), a usługi pozostawały operacyjne. Jednocześnie Eurofiber zgłosił sprawę do CNIL i ANSSI oraz złożył zawiadomienie o próbie wymuszenia (extortion).

W skrócie

• Kiedy: wykrycie 13.11.2025 r.; ujawnienie publiczne 16–18.11.2025 r.
• Gdzie: system ticketowy używany przez Eurofiber France i marki regionalne + portal ATE (chmura Eurofiber Cloud Infra France).
• Co wyciekło: Eurofiber nie podaje szczegółowej listy typów danych; zewnętrzne analizy i ogłoszenia sprawcy wskazują na dane z zgłoszeń, konfiguracje VPN, klucze/API, hashe haseł, backupy SQL, zrzuty ekranów i dokumenty.
• Skala: dotyczy klientów francuskich; spółka podkreśla, że dane bankowe i „krytyczne” z innych systemów nie zostały naruszone.
• Aktor: do włamania przyznaje się ByteToBreach; pojawiają się tezy o wykorzystaniu SQL injection w interfejsie GLPI/ITSM.

Kontekst / historia / powiązania

Według SecurityWeek i The Register, Eurofiber poza powiadomieniem klientów złożył zawiadomienie o próbie wymuszenia i formalnie zgłosił incydent regulatorom. To wpisuje się w rosnący trend kradzieży danych i szantażu bez szyfrowania (tzw. „pure extortion”).

Z kolei BleepingComputer i raport wywiadowczy SOCRadar łączą incydent z eksfiltracją zasobów z centralnego systemu ITSM, co potencjalnie przekłada się na ryzyko łańcucha dostaw (dostęp do konfiguracji środowisk klientów).

Analiza techniczna / szczegóły luki

• Wejście: oficjalny komunikat Eurofiber mówi o „podatności oprogramowania” w platformie zgłoszeniowej/portalu ATE.
• Wektor / TTP (z analizy zewnętrznej): SOCRadar oraz cytowany przez SecurityWeek opis sprawcy wskazują na SQL injection w GLPI (system ITSM), długotrwałą ekstrakcję ~10 tys. hashy haseł i użycie kluczy API/sekretów do pobrania dalszych zasobów (pliki konfiguracyjne, backupy, bilety, zrzuty).
• Zakres zasobów: możliwe konfiguracje VPN, klucze SSH, tokeny API/chmurowe, backupy SQL, źródła i skrypty, załączniki do ticketów. To dane o wysokiej wartości operacyjnej.
• Uwagi dot. GLPI: CERT-FR od lat publikuje ostrzeżenia o podatnościach GLPI (m.in. 2025-AVI-0162 – XSS, naruszenie poufności, obejście polityk), co podkreśla konieczność twardego hardeningu i regularnego patchowania narzędzi ITSM nawet jeśli są „wewnętrzne”, lecz mają interfejs www. (Uwaga: nie ma potwierdzenia, że użyta była akurat ta CVE/wersja).

Praktyczne konsekwencje / ryzyko

1. Lateral movement & pivoting: wyciek kluczy/konfiguracji może umożliwić uwierzytelnianie do systemów produkcyjnych klientów (VPN/SSH), w tym z wykorzystaniem zaufanych łączy operatora.
2. Impersonacja dostawcy: treści z ticketów i wewnętrzne procedury zwiększają skuteczność spear-phishingu oraz socjotechniki „na serwisanta”.
3. Ryzyko supply chain: dane operacyjne jednego integratora/operatora mogą ułatwić ataki na setki–tysiące środowisk klientów.
4. Szantaż i reputacja: formalne zgłoszenie extortion wskazuje na potencjalne publikacje/aukcje paczek danych.

Rekomendacje operacyjne / co zrobić teraz

Dla klientów Eurofiber France oraz podmiotów z łańcucha dostaw:

1. Rotacja wszystkich sekretów powiązanych z Eurofiber/ATE/GLPI:
   • klucze SSH, certyfikaty i profile VPN, hasła/hashe (wymuś reset), API keys, tokeny chmurowe, dane integracyjne (w tym webhooki).
2. Segmentacja i ograniczenie zaufania dla dostępów dostawcy: natychmiast przejrzyj reguły na zaporach, listy dozwolonych adresów i just-in-time access dla kont serwisowych.
3. Hunting i telemetria: korelacja logów VPN/SSH/IDP/SIEM od 13.11.2025; szukaj nietypowych geo-lokacji, wzorców logowania serwisowego, długich sesji i tuneli.
4. Ticket hygiene: przeszukaj systemy zgłoszeniowe pod kątem tajemnic w treści ticketów (hasła, linki do paneli, klucze w załącznikach). Wdróż DLP / sekret-scanning i szablony ticketów bez danych uwierzytelniających.
5. Patching GLPI/ITSM & hardening: aktualizacja do ostatnich wersji (GLPI ≥10.0.18 jako próg z wytycznych CERT-FR) + WAF/IPS na interfejsach www ITSM (z regułami SQLi), wymuszony MFA i mTLS dla portali serwisowych.
6. Plan publikacyjny i prawny: sprawdź, czy wymagane są notyfikacje RODO oraz komunikacja do interesariuszy (w oparciu o fakty i artefakty logów).
7. Kontrole dostępu w chmurze: rotuj klucze w AWS/Azure/GCP, przegląd ról i trust policies; włącz key compromise playbooks.

Różnice / porównania z innymi przypadkami

• Bouygues Telecom (08.2025) i Orange France (07.2025) również raportowały incydenty, ale charakter wycieków i potwierdzenie kradzieży danych różniły się między operatorami. Sprawa Eurofiber wyróżnia się uderzeniem w ITSM/GLPI i możliwą eskalacją supply chain przez konfiguracje i klucze znajdujące się w zgłoszeniach.

Podsumowanie / kluczowe wnioski

• ITSM to „korona-klejnotów” operacyjnych. Jeżeli system ticketowy zawiera sekrety/konfiguracje, jego kompromitacja staje się infrastrukturą ataku dla przeciwnika.
• Szybka reakcja nie zastąpi sanacji sekretów. Nawet jeśli luka została załatana, rotacja kluczy i przegląd dostępów są krytyczne.
• Łańcuch dostaw: wyciek jednego operatora może mieć szerokie, pośrednie skutki. Zaimplementuj kontrole zaufania do dostawców i minimalizuj dane w ticketach.
• Transparentność i zgodność: zgłoszenie do CNIL/ANSSI i ścieżka „extortion” potwierdzają tryb data theft + szantaż, dlatego przygotuj scenariusze reakcji na publikacje danych.

Źródła / bibliografia

1. Oficjalny komunikat Eurofiber France, 16–18 listopada 2025 (FR/EN). (eurofiber)
2. SecurityWeek: „Data Stolen in Eurofiber France Hack”, 18 listopada 2025. (SecurityWeek)
3. BleepingComputer: „Eurofiber France warns of breach after hacker tries to sell customer data”, 17 listopada 2025 (aktual. 18.11). (BleepingComputer)
4. The Register: „Eurofiber admits crooks swiped data from French unit…”, 17 listopada 2025. (The Register)
5. SOCRadar: „Eurofiber breach…”, 17 listopada 2025 (analiza TTP i typów danych). (SOCRadar® Cyber Intelligence Inc.)