موظفو الضرائب الفرنسيون يبيعون بيانات الهوية، مما أدى إلى هجوم على المشرف في مونتروي

مفتش ضرائب في بوبيني استغل برنامج داخلي لإنشاء ملفات عن خبراء التشفير، والملياردير Vincent Bolloré، ومراقب سجن، وقاضٍ. ثم باع هذه المعلومات للجريمة، التي دفعت 800 يورو لتنظيم هجوم على مراقب سجن في منزله الخاص في مونتريه.

تم رفض استئناف المتهم في 6/1، وفقًا للإعلام المحلي.

القضية ليست فقط مثيرة للاهتمام بسبب السلوك الإجرامي، بل والأهم في طريقة اختيار الأهداف. الهجوم الجديد لم يعد يعتمد على doxxing على Telegram أو الاختراقات في البورصات، بل على الوصول المميز إلى نظام التعريف الحكومي – حيث يمكن من خلال استعلام واحد ربط الاسم بعنوان، ورقم هاتف، وبنية الأسرة.

في عام 2024، سجلت المديرية العامة لقوات الشرطة الفرنسية 93 تحقيقًا متعلقًا بانتهاك سرية المهنة و76 حالة تحويل بيانات غير قانوني. وتصف الوكالة ظاهرة شراء واستعلام قواعد البيانات الحكومية عبر وسائل التواصل الاجتماعي والويب المظلم بأنها “تحديث” لبيع الملفات.

تحقيق خاص من TF1 كشف عن “قائمة خدمات” تعمل على Snapchat: 30 يورو لاستعلام عن تسجيل السيارة، 150 يورو للتحقق من قائمة المطلوبين، و250 يورو لإلغاء حظر السيارة بشكل غير قانوني. المعاملات البنكية المرتبطة بمشتبه بهم تتراوح بين 15 و5000 يورو.

نموذج أمن التشفير يعتمد على عدم عكسية المعاملات، والتخزين الذاتي يساعد على القضاء على المخاطر من الوسيط. ومع ذلك، بمجرد أن يكتشف المهاجم هوية الشخص الحقيقي، لا يصبح الأمر مجرد علم التشفير بل يصبح مسألة إكراه.

يمكن اعتبار ذلك “القيمة القابلة للاستغلال القصوى” في الحياة الواقعية – IRL MEV. على البلوكتشين، يأتي الـMEV من رؤية تدفقات المعاملات قبل غيرها. في العالم المادي، يتم استغلال القيمة من خلال مراقبة مخططات الهوية، ثم اختيار الطريق الأقل تكلفة للإكراه.

يتم بيع خدمات استعلام قواعد البيانات غير القانونية بأسعار واضحة: 30 يورو لتسجيل السيارة، 150 يورو للتحقق من قائمة المطلوبين، و250 يورو لفتح حظر السيارة. سوق استعلام البيانات غير القانونية قد تشكل بالفعل مع جدول أسعار واضح. ذكرت Le Parisien في 18/12 أن هجمات على مستثمري التشفير في فرنسا تتزايد بشكل كبير، مما اضطر الحكومة لإصدار مرسوم في أغسطس 2025 لإزالة عناوين منازل قادة شركات التشفير من سجل التجارة RCS.

هذه الإجراءات تساعد على تقليل مخاطر العنف والمضايقة، رغم أن قوات إنفاذ القانون والجمارك والضرائب لا تزال تملك حق الوصول.

في السابق، كانت سجلات RCS تكشف عن عناوين قادة الشركات في وثائق Kbis – ملفات الشركات العامة. المرسوم في أغسطس فقط أغلق ثغرة. في حين أن قاعدة بيانات الضرائب لا تزال مفتوحة لآلاف الموظفين، والمراقبة تعتمد بشكل رئيسي على اكتشاف غير عادي بعد وقوع الحادث.

نظام الضرائب يحتوي على بيانات مفصلة للغاية: العنوان محدث من خلال التصريح، ورقم الهاتف يظهر في المراسلات، وبنية الأسرة تظهر من خلال التصريح عن المعالين، وملفات الأرباح الرأسمالية تربط بين أنواع الأصول والأشخاص المعنيين. ووفقًا لـ TF1، يمكن لموظفي الضرائب الفرنسيين الوصول إلى كل هذه البيانات.

من الناحية “الاقتصادية”، هذا النموذج يميل تمامًا نحو المهاجم: استعلام واحد يكلف بضعة عشرات إلى مئات اليورو، في حين أن عملية اختراق ناجحة يمكن أن تحقق إيرادات من مئات الآلاف إلى الملايين.

سجلت ENISA 586 حادثة أثرت على المؤسسات الحكومية في الاتحاد الأوروبي خلال عام 2024. التهديد الرئيسي لا يأتي من هجمات تقنية معقدة، بل من الداخلين الشرعيين الذين يستخرجون البيانات ويبيعونها للسوق الثانوية.

واجهت المؤسسات الحكومية في الاتحاد الأوروبي 586 حادثة أمنية في عام 2024، بينما سجلت فرنسا 93 انتهاكًا لسرية المهنة و76 تحقيقًا في سرقة البيانات. غالية C. اعترفت بأنها زودت ثلاثة أشخاص بمعلومات لتنفيذ هجوم على مراقب سجن. المبلغ 800 يورو يدل على أن الأمر كان خدمة مدفوعة. سجل استعلاماتها يشمل خبراء التشفير، والملياردير Bolloré، ومراقب الصحة، وقاضٍ – مما يدل على أن السلوك هو بيع حق الوصول، وليس مجرد خصومة شخصية فردية.

حاملو التشفير لديهم ملفات مخاطرة – أرباح جذابة بشكل خاص للجريمة العنيفة. الأصول تُخزن ذاتيًا، لذلك لا يمكن للبنك تجميدها أو للمحكمة عكس المعاملات. القيمة الكبيرة يمكن نقلها على الفور. والإبلاغ عن الحادث أحيانًا يعرض الشخص للخطر من قبل السلطات الضريبية.

إزالة العنوان من السجل العام تظهر أن المؤسسات أدركت أن المخاطر المادية المرتبطة بالتشفير تختلف جوهريًا عن المالية التقليدية. يمكن للبنك تجميد الحساب، والوسيط يعكس المعاملات، لكن معاملات التشفير لا يمكن عكسها.

هذه الخاصية النهائية حولت صورة التهديد من أمن تقني إلى هوية. عندما يُحل مسألة الهوية، يصبح الإكراه بسيطًا.

رد فرنسا على موجة هجمات التشفير كان يشمل إخفاء العناوين من عام 2025، لكن مقترحات التصريح عن الأصول في 2026 تخلق مخاطر جديدة. إذا كانت بيانات الهوية موردًا نادرًا، فهناك ثلاثة اتجاهات يمكن التنبؤ بها: توسيع حماية سجل التسجيل، وتشديد الرقابة في النظام الحكومي، واستمرار بيع حق الوصول الداخلي لأن الدوافع الاقتصادية لا تزال جذابة.

اللغز هو أن أوروبا توسع شفافية التشفير من خلال KYC الإجباري، وتقارير المحافظ، وتتبع معاملات DeFi لمكافحة غسيل الأموال والتهرب الضريبي. هذه المطالب تخلق قواعد بيانات مركزية تربط الهوية بالأصول. كلما كانت قاعدة البيانات أكثر اكتمالًا، زادت قيمتها للمهاجم.

مشروع ميزانية فرنسا لعام 2026 يقترح فرض ضريبة 1% سنويًا على الأصول التشفيرية التي تتجاوز 2 مليون يورو، مع ضرورة التصريح بالأصول الذاتية والتخزين الخارجي. هذا بشكل غير مباشر يخلق “فخ عسل”: قائمة يديرها الدولة للأشخاص الذين يمتلكون تشفيرًا بقيمة كبيرة، مع عناوينهم.

المجتمع التقني غالبًا ما يرى أمن التشفير كمسألة إدارة المفاتيح، وهذا صحيح مع الهجمات على السلسلة. لكن حادثة بوبيني تظهر أن إدارة المفاتيح تصبح بلا معنى عندما يُدمج الإكراه المادي في نموذج التهديد. لا تحمي الحافظة الصلبة عندما يعرف المهاجم عنوان المنزل ويظهر بأسلحة. الثغرة تكمن في مستوى الهوية، وليس في مستوى البلوكتشين.

هذه الحادثة تكشف عن بنية سوق رأس مال تعمل بشكل سري. الأهداف لا تعرف أنها تم استعلامها حتى يطرق المهاجم الباب.