Un important site de imobiliare, în pericol. Acest site stoca datele personale a sute de mii de cetăţeni, însemnând adrese, nume complete, numere de conturi, parole, semnături electronice, fotografii, documente de identitate și de proprietate, precum şi date ale unor tranzacții. Cu alte cuvinte, cam tot ce poate avea un om de protejat, pentru a nu cădea victimă unor infractori electronici. Care pot merge de la golirea conturilor, până la falsificarea actelor de proprietate a unui bun şi a semnăturilor, iar apoi deposedarea prin fraudă de acel bun a adevăratului proprietar.

Numărul de persoane afectate de aceasă breşă de securitate este uriaş. Peste 200.000. Cam cât numărul de locuitori ai unui oraş mare. Acestor români datele personale le-au fost compromise și există pericolul unor fraude.

Unul dintre utilizatorii site-ului imobiliare.ro a stat de vorbă cu reporterii noştri. Andrei H. (32 de ani) este extrem de îngrijorat de faptul că datele sale personale ar putea fi acum în mâinile unor indivizi care pot face orice cu ele. Andrei H. se teme nu doar că îi vor fi golite conturile, pentru că asta a rezolvat-o deja cu banca şi au fost luate măsuri de securitate, ci şi că identitatea sa, precum şi semnătura electronică, vor putea fi folosite la contractarea unor eventuale împrumuturi la bănci sau la fonduri, ori în alte scopuri.

Un important site de imobiliare, în pericol. Clienţii site-ului intră în alertă

De cum a aflat aceste informații publicate în raportul amintit, Andrei H. a demarat imediat procedura prin care a sperat să primescă răspunsurile dorite de la responsabilii site-ului. Se putea, foarte bine, să se afle şi el printre cei aproximativ 200.000 de utilizatori ale căror date personale ar fi putut fi compromise. Andrei H. a folosit și încă mai folosește serviciile acestui site. Astfel că imediat a inițiat o corespondență cu repsonsabilii de la „imobiliare.ro”.

Răspunsul primit este unul extrem de vag, în care este asigurat că se fac toate eforturile ca datele sale să fie în siguranţă, fără însă să i se răspundă la întrebările punctuale: dacă a existat într-adevăr o breşă de securitate şi dacă el se numără printre cei ale căror date au fost accesate ilegal.

Andrei H. ne-a declarat în exclusivitate: ”Vorbim despre întreaga mea identitate și de resursele mele financiare. Este extrem de grav. Am sperat că îmi vor da detalii exacte. Nu că îmi vor spune că nu au indicii și că fac o analiză asupra potențialului impact asupra conturilor. Deci, ceva a fost, ceva s-a întâmplat, dacă specialiștii lor derulează asemenea cercetări. Obligația lor legală, conform art 34 din legea protecției datelor cu carater personal (GDPR), era să mă anunțe fără întârziere dacă datele mele personale au fost compromise sau dacă s-a încercat accesearea lor ilegală. Cum erau obligați, tot prin lege, să raporteze la instituțiile abilitate. Mie nu mi-au trimis nimic! Nu ştiu dacă au făcut reclamaţie la GDPR. Eu ce să cred acum? Mă număr printre cei 200.000 de utilizatori ale căror date personale au  fost compromise? Vorbim despre adresă, CNP, nume complet, numere de telefon, e-mail-uri, tot felul de parole, conturi, date despre plăți, semnături electronice. Vorbim de întreaga mea identitate și de resursele mele financiare. Este, repet, extrem de grav”

Andrei H ştie foarte bine ce spune şi cât de gravă poate fi situaţia, pentru că el însuşi a lucrat în zona de IT.

Vinovatul ar putea fi cineva din interior

Din informațiile pe care le furnizează acelaşi raport făcut public în luna ianuarie, nu este vorba de un atac informatic al unor hackeri. Deci, atacul nu vine dinafară. Raportul vorbeşte despre o breșă de securitate în sistemul de date, lăsată de  cineva din interior. Cineva responsabil cu protecția datelor clienților-utlizatori. În concret, un angajat al site-ului, din neştiinţă sau cu intenţie, a lăsat o porțiune nesecurizată, către datele personale ale utilizatorilor, care sunt protejate prin lege.

Mai pe înţeles, cineva a lăsat „o uşă deschisă” către o porţiune din acel site, pentru o perioadă de timp. „Uşă” prin care puteau „băga capul” infractorii şi afla ce este în spatele ei. Adică date personale ale sute de mii de oameni. Raportul mai menționează că breșa ar fi fost închisă, atunci când a fost detectată.

Din păcate, oficiali ai site-ului imobiliare.ro nu au oferit până acum un răspuns clar nici lui Andrei H., nici altor clienți. Nici legat de perioada în care a existat această breșă, nici cum a fost posibil acest lucru, nici cine este vinovat de situația creată. Dar, mai ales, dacă, într-adevăr există posibilitatea ca datele personale, conturile a aproximativ 200.000 de utilizatori să fi fost compromise.  Ca să nu mai vorbim despre anunţarea acelor utilizatori, pentru a-şi lua de urgenţă propriile măsuri de protecţie.

Această ambiguitate a răspunsurilor oficialilor site-ului, are consecinţe dintre cele mai grave. Andrei H. ne explică în continuare: ”Un singur cont dacă a fost accesat ilegal, trebuie să se ia măsuri imediate de protecție. Eu acum nu știu dacă să-mi schimb cardurile. Nimeni nu m-a lămurit. Nu știu dacă să fac sau nu o sesizare la Autoritatea Națională de Supraveghere a Prelucrărilor Datelor cu Caracter Personal. Contul meu la acel site este încă activ. Am făcut tranzacții prin acel cont. Am făcut plăți. Sunt sau nu în pericol de a mi se fi acesat ilegal datele personale? Cel mai corect și legal ar fi ca responsabilii acestui site să-și asume situația. Să iasă public cu un comunicat către utilizatori. Repet, şi un singur cont dacă a fost accesat ilegal, trebuie să se ia măsuri imediate de protecție. Raportul pe care l-am citit cu îngrijorare vorbește de 200.000 de asemenea conturi, care ar fi fost compromise. E real? Nu e. Ce avem de făcut în continuare”?

Grupul „Ringier”, acţionarul majoritar al site-ului cu breşă de securitate

Majoritatea acţiunilor site-ului este deţinută de grupul elvețian de presă „Ringier”, care are 87%  din portalul imobiliare.ro. Site-ul are o istorie de 16 ani și este lider de piață în ceea ce priveşte anunțurile imobiliare. Restul de procente până la 100% a rămas în portofoliul a trei fondatori, care păstrează pachetul minoritar și admnistrează compania.

Învârteala de după cireş

Am adresat şi noi responsabililor site-ului aceleaşi întrebări la care aşteaptă răspuns şi Andrei H, şi alţi utilizatori ai site-ului. Răspunsul pe care l-am primit la redacţie a fost unul tot ambiguu: „În luna ianuarie 2021, am detectat o potențială vulnerabilitate în sistemele noastre interne de stocare a datelor. Compania noastră a demarat în mod prompt o investigație internă. Vulnerabilitatea a fost rapid remediată. Investigațiile interne cu privire la cauze și consecințele potențiale continuă. Asigurăm, pe această cale, că pentru Imobiliare.ro siguranța datelor este o prioritate și că depunem eforturi continue pentru a proteja confidențialitatea și integritatea informațiilor din platformele noastre, respectând toate normele în vigoare.”

Oricât de ambiguu ar fi comunicatul, din el reiese clar că a fost o breşă de securitate, remediată ulterior. Şi că acum se fac investigaţii să se identifice vinovaţii. Vinovaţi care sunt din interior.

Rămân însă în continuare fără răspuns întrebările: câte persoane au avut compromise datele protejate prin lege. Şi, mai ales, cine îşi asumă răspunderea? Ce au de făcut aceşti utilizatori în cazul în care, din cauza breşei de securitate a site-ului și accesarea datelor lor de către persoane neautorizate, au fost păgubiți de către infractorii electronici.

Un important site de imobiliare.