Zeci de mii de avocați din toată țara inclusiv, din județul Suceava s-au trezit cu un e-mail prin care erau atenționați că, în urma unui atac cibernetic, le-au fost extrase date personale, inclusiv CNP-ul, de pe platforma profesională, girată de Uniunea Națională a Barourilor din România (UNBR). Avozații suceveni confirmă breșa de securitate.
Atacul a avut loc asupra site-ului IFEP, prin care se accesează atât tabloul avocaților din România, cât și Registrul electronic al actelor întocmite de avocați și Registrul electronic al evidenței patrimoniului de afectațiune al avocaților, plus rezultatele concursurilor de intrare în Barou, atunci când e cazul, arata evz.ro.
Cel care a descoperit cazul și a oferit avocaților afectați toate datele este un tânăr specialist în IT, Director INCORPO.ro, care semnează e-mail-ul și oferă informații suplimentare într-o înregistrare video. Directorul Ștefan Lucian Deleanu susține că accesul ilegal la datele avocaților s-a derulat pe parcursul a doi ani.
Evenimentul zilei a prezentat într-un articol excluisv conținutul e-mailului.
Voi reda atât conținutul mail-ului primit de avocați, cât și poziția critică a unui grup de avocați care sesiza cu mult timp în urmă că există suspiciuni cu privire la site-ul IFEP care gestionează, cu acordul UNBR, informații importante despre breasla avocaților români.
Mesajul care a alertat 30.000 de avocați
„Va contactam pentru a vă notifica că faceți parte dintr-o breșă de securitate.
Subiect Contact:
Pe data de 28 Februarie, 2023, IFEP a suferit o breșă de date, implicând peste 30.000 de avocați, inclusiv dumneavoastră.
Astfel, următoarele informații puteau fi extrase folosind un endpoint accesibil fără parolă, și indexat de Google.
Estimam că acest endpoint a fost accesibil pentru aproximativ 2 ani, însă nu avem informații clare.
Date care au fost accesibile:
- Nume, Prenume: Necesară funcționarii platformei IFEP
- CNP: Nu se justifică furnizarea acestor informații tuturor utilizatorilor platformei de căutare a IFEP.
- Număr de telefon (mobil – opțional): Ar putea fi relevant cel de lucru.
- EMAIL (Declarat la IFEP – cel pe care vă notificam acum, și care încă este public accesibil, dar rezonabil, pe site)
- Legitimația de lucru (NR) – Care putea fi obținută online, prin platforma IFEP, în baza CNP-ului afectat de breșa sus menționată.
Riscuri:
Suplimentar, dacă un atacator a obținut accesul la CNP-urile dvs, în contextul unei probabile proaste implementări a sistemului de vot al decanilor prin IFEP, este foarte probabil ca voturile să poată fi deanonimizate.
Toate detaliile despre reclamarea problemei au fost atașate în comunicatul de presă de mai jos, și suplimentar, în atașamentele PDF (copie mail transmis).
Chiar și în lipsa CNP-urilor, considerăm că un atacator ar putea deanonimiza voturile în baza hash-ului pre-existent, datorită cantității relativ restrânse de CNP-uri existente.
Măsuri luate și impact:
A fost notificat IFEP în mod direct pe adresa de mail din termenii și condițiile pentru a rectifica problema. Deși s-a rectificat în aceiași zi, avocații nu au fost notificați de existența bresei.
ANSPDCP (Instituția responsabilă de asigurarea protecției datelor în România) nu a fost notificată, deși apreciem că IFEP era obligată, legal.
Nu știm dacă această vulnerabilitate a fost exploatată în the wild.
Detalii compete, măsuri, recomandări:
Pentru o analiză mai comprehensivă a situației tehnice, și demersurile luate pentru rectificarea problemei, va recomandăm citirea comunicatului de presă al Incorpo.ro referitor la breșă de securitate al IFEP.
Va notificam că email-ul pe care ați fost contactat a fost extras de pe endpoint-utile publice, tot de pe platforma IFEP și NU reprezintă o campanie de marketing.
Însă, considerăm demn să încurajăm transparență în contextul suferirii unei breșe, mai ales într-un domeniu sensibil, cum este avocatura.
Pentru mai multe detalii despre breșă, va suntem disponibili la office@incorpo.ro.
În mod adițional, va sunt accesibil personal pe Linkedin, în cazul în care doriți să ofer amănunte punctual.
Suplimentar, dacă doriți probarea existenței bresei, va rugăm să ne transmiteți un document semnat electronic în care să ne solicitați expres și să ne furnizați dreptul de procesare al datelor respective, pentru a va putea transmite totalitatea datelor despre dvs.
Mulțumim,
Deleanu Ștefan-Lucian,
Director, INCORPO.RO
Ce spun avocații suceveni:
,, Am primit e-mail. Aștept să văd ce decid restul colegilor,, spune un avocat din cadrul Baroului Suceava.
,, Așa se pare. Dar încă se investighează. adinistratorul site nu a comunicat UNBR. În e-mail se menționează că problema a fost remediată,, sustine un alt avocat sub protecția anonimatului.
