30.000 de avocați au aflat că li s-au furat datele personale. Exclusiv

30.000 de avocați au aflat că li s-au furat datele personale. Exclusiv

Fapt fără precedent. Zeci de mii de avocați din toată țara s-au trezit cu un e-mail prin care erau atenționați că, în urma unui atac cibernetic, le-au fost extrase date personale, inclusiv CNP-ul, de pe platforma profesională, girată de Uniunea Națională a Barourilor din România (UNBR).

Atacul a avut loc asupra site-ului IFEP, prin care se accesează atât tabloul avocaților din România, cât și Registrul electronic al actelor întocmite de avocați și Registrul electronic al evidenței patrimoniului de afectațiune al avocaților, plus rezultatele concursurilor de intrare în Barou, atunci când e cazul.

Cel care a descoperit cazul și a oferit avocaților afectați toate datele este un tânăr specialist în IT, Director INCORPO.ro, care semnează e-mail-ul și oferă informații suplimentare într-o înregistrare video. Directorul Ștefan Lucian Deleanu susține că accesul ilegal la datele avocaților s-a derulat pe parcursul a doi ani.

Voi reda atât conținutul mail-ului primit de avocați, cât și poziția critică a unui grup de avocați care sesiza cu mult timp în urmă că există suspiciuni cu privire la site-ul IFEP care gestionează, cu acordul UNBR, informații importante despre breasla avocaților români.

Așteptăm, luni, un răspuns oficial din partea UNBR cu privire la situația creată, dar și explicații de la proprietarul site-ului IFEP. De asemenea, dacă există avocați care vor să-și spună punctul de vedere, rog să o facă pe adresa simona.ionescu@evzgroup.ro

Mesajul care a alertat 30.000 de avocați

„Va contactam pentru a vă notifica că faceți parte dintr-o breșă de securitate.

Subiect Contact:

Pe data de 28 Februarie, 2023, IFEP a suferit o breșă de date, implicând peste 30.000 de avocațiinclusiv dumneavoastră.

Astfel, următoarele informații puteau fi extrase folosind un endpoint accesibil fără parolă, și indexat de Google.

Estimam că acest endpoint a fost accesibil pentru aproximativ 2 ani, însă nu avem informații clare.

Date care au fost accesibile:

  • Nume, Prenume: Necesară funcționarii platformei IFEP
  • CNP: Nu se justifică furnizarea acestor informații tuturor utilizatorilor platformei de căutare a IFEP.
  • Număr de telefon (mobil - opțional): Ar putea fi relevant cel de lucru.
  • EMAIL (Declarat la IFEP - cel pe care vă notificam acum, și care încă este public accesibil, dar rezonabil, pe site)
  • Legitimația de lucru (NR) - Care putea fi obținută online, prin platforma IFEP, în baza CNP-ului afectat de breșa sus menționată.

Riscuri:

Suplimentar, dacă un atacator a obținut accesul la CNP-urile dvs, în contextul unei probabile proaste implementări a sistemului de vot al decanilor prin IFEP, este foarte probabil ca voturile să poată fi deanonimizate.

Toate detaliile despre reclamarea problemei au fost atașate în comunicatul de presă de mai jos, și suplimentar, în atașamentele PDF (copie mail transmis).

Chiar și în lipsa CNP-urilor, considerăm că un atacator ar putea deanonimiza voturile în baza hash-ului pre-existent, datorită cantității relativ restrânse de CNP-uri existente.

Măsuri luate și impact:

A fost notificat IFEP în mod direct pe adresa de mail din termenii și condițiile pentru a rectifica problema. Deși s-a rectificat în aceiași zi, avocații nu au fost notificați de existența bresei.

ANSPDCP (Instituția responsabilă de asigurarea protecției datelor în România) nu a fost notificată, deși apreciem că IFEP era obligată, legal.

Nu știm dacă această vulnerabilitate a fost exploatată în the wild.

Detalii compete, măsuri, recomandări:

Pentru o analiză mai comprehensivă a situației tehnice, și demersurile luate pentru rectificarea problemei, va recomandăm citirea comunicatului de presă al Incorpo.ro referitor la breșă de securitate al IFEP.

Va notificam că email-ul pe care ați fost contactat a fost extras de pe endpoint-utile publice, tot de pe platforma IFEP și NU reprezintă o campanie de marketing.

Însă, considerăm demn să încurajăm transparență în contextul suferirii unei breșe, mai ales într-un domeniu sensibil, cum este avocatura.

Pentru mai multe detalii despre breșă, va suntem disponibili la office@incorpo.ro.

În mod adițional, va sunt accesibil personal pe Linkedin, în cazul în care doriți să ofer amănunte punctual.

Suplimentar, dacă doriți probarea existenței bresei, va rugăm să ne transmiteți un document semnat electronic în care să ne solicitați expres și să ne furnizați dreptul de procesare al datelor respective, pentru a va putea transmite totalitatea datelor despre dvs.

Mulțumim,

Deleanu Ștefan-Lucian,

Director, INCORPO.RO

Și, totuși, care e treaba cu ifep-ul?

Exact în februarie 2023, pe data de 27 februarie, pe site-ul avocaturaaltfel.ro, apărea un articol cu titlul de mai sus, care ridica suspiciuni asupra site-ului IFEP. Articolul era semnat de Dan Cherteș. A doua zi, pe 28 februarie, așa cum se precizează în mailul transmis avocaților de către Incorpo.ro, site-ul avocaților „a suferit o breșă de date”.

Lucrul important pe care-l sesiza autorul articolul se referă la faptul că site-ul ifep.ro nu aparține UNBR, este înregistrat pe persoană fizică și nu se știe cine este acest proprietar girat de Uniunea Barourilor. Redau cel mai elocvent fragment din articolul lui Dan Cherteș.

„În contextul proiectului privind digitalizarea serviciilor avocațiale, unii avocați au reluat pe grupurile de Facebook discuția privind http://www.ifep.ro, site-ul prin care se accesează atât tabloul avocaților din România, cât și Registrul electronic al actelor întocmite de avocați și Registrul electronic al evidenței patrimoniului de afectațiune al avocaților. A mai fost folosit și pentru examenul de primire în profesia de avocat și pentru votul în cadrul Congresului online din 2020.

Problema în discuție ține de faptul că domeniul e pe persoană fizică și avocații nu știu cine e acea persoană. De ce nu e ifep.ro un domeniu înregistrat de UNBR, așa cum e unbr.ro, n-am reușit să mă lămuresc. Ce știam și ce am reușit să aflu rezum mai jos. O fac nu pentru a crea o dezbatere artificială, ci, pentru că o minimă transparență pe acest subiect din partea UNBR este necesară”.

Sute de instituții de artă au avut de suferit în urma unui atac cibernetic

Nu se întâmplă doar în România astfel de fapte, doar că reacția și implicarea autorităților este alta. În noiembrie, un grup de ransomware a furat date personale de la British Library, postând ulterior pe internet imagini ale fișierelor de resurse umane. Un alt atac cibernetic asupra unei companii de software numită Gallery Systems a afectat sute de instituții de artă, inclusiv Muzeul de Arte Frumoase din Boston, Muzeul de Artă Rubin din New York și Muzeul de Artă Americană Crystal Bridges din Arkansas, care foloseau acest software pentru a-și gestiona arhivele și colecțiile online, relatează curatorial.ro, în 5 decembrie.

Potrivit New York Times, Gallery Systems și-a anunțat clienții la 28 decembrie că au aflat că calculatoarele pe care rulează software-ul său au fost criptate și că aceste sisteme nu mai pot funcționa. „Am luat imediat măsuri pentru a izola aceste sisteme și am implementat măsuri pentru a preveni ca alte sisteme să fie afectate, inclusiv prin scoaterea sistemelor din funcțiune ca măsură de precauție”, se arată în mesaj. „De asemenea, am lansat o investigație și au fost angajați experți terți în securitate cibernetică pentru a ne ajuta. În plus, am notificat forțele de ordine”.

eMuseum, programul care permite vizitatorilor să caute în arhivele și colecțiile unei instituții, a avut de suferit în urma atacului, la fel ca și un program numit TMS, care stochează numele donatorilor, condițiile de împrumut, înregistrările de proveniență, locațiile de depozitare a operelor de artă și informațiile de expediere.

Dacă ai date sau informaţii care pot deveni o ştire, transmite-le pe adresa pont@evz.ro
Ne puteți urmări și pe Google News