Zum Hauptinhalt springen

Datenpanne - Nationales Handelsregisteramt (ONRC)

Details zur Datenpanne, die ONRC V2.0 betroffen hat, die über 1 Million Unternehmen in Rumänien in geringerem Maße betrifft, sowie alle insolventen natürlichen Personen in Rumänien und die Nutzer, die in den ersten 2 Tagen nach dem Start (~3000 Fachleute) Dienstleistungen über die Plattform bezahlt haben.

Stefan-Lucian Deleanu

Publicație Oficială: ENTRYRISE S.R.L
Scop: Notificarea societății civile cu privire la existența informațiilor în spațiul public

Momente cheie:
- Identificare vulnerabilități: 26 Iulie 2024 - 27 Iulie 2024
- Tentativa eșuată de soluționare și re-lansare: 27.07.2024
- Data formulare critici tentativa: 21:38 PM, 27.07.2024
- Soluționare efectivă a problemelor: 30.07.2024

Detalii Breșa:
- [Momentan confidențiale]

Riscuri:
- Furt de identitate (Peste 3.000 persoane vulnerabile, toate persoanele care au efectuat plăți pe platforma până în 28.07.2024 + Toate persoanele fizice care au fost vreodată insolvențe)
- Risc de profilare automata pe informații cu privire la situația financiară a persoanelor care au fost vreodata insolvente in Romania.
- Divulgare informații nedestinate publicității cu privire la toate societățile comerciale, existența contracte notificate spre ONRC.
- Compromiterea confidențialității și integrității unui set restrâns de date referitoare la toate societatile din Romania nedestinate publicității largi, cu impact redus asupra secretului comercial și avantajului competitiv.
- Divulgarea tuturor părților în contractele de închiriere, comodat, vânzare notificate spre ONRC.
🦜
Diese Veröffentlichung wurde ursprünglich in rumänischer Sprache verfasst.Übersetzungen in andere Sprachen erfolgen automatisch und sind nicht garantiert, dass sie äquivalent sind.
📆
Wir schätzen die Kommunikation aller Informationen bis zum 04.08.2024Im Falle des Fehlens eines Antrags auf Enthaltung, der von der DNSC / ONRC erhalten wurde, die über die Absicht zur öffentlichen Mitteilung von Schwachstellen informiert wurden.

Videoclip Einzelheiten zum Vorfall:

Die Plattform MyPortal des Nationalen Handelsregisters (ONRC), die darauf abzielt, die digitale Interaktion zwischen Unternehmern und der Institution zu erleichtern, hat eine Reihe kritischer Sicherheitsanfälligkeiten aufgezeigt, die die persönlichen Daten von Tausenden von Nutzern sowie über 1 Million Unternehmen gefährdet haben.

Über die offensichtlichen technischen Probleme hinaus offenbart dieser Vorfall tiefgreifende Mängel in der Art und Weise, wie öffentliche Institutionen in Rumänien mit Cybersicherheit umgehen, und wirft ernsthafte Fragen zur Verantwortung und Transparenz der Behörden im Umgang mit solchen Situationen auf.

Ein System, das auf wackeligen Fundamenten gebaut ist

Unsere Untersuchung hat ergeben, dass die Plattform MyPortal auf instabilen Grundlagen aufgebaut wurde, grundlegende Sicherheitsprinzipien ignoriert und die sensiblen Daten der Nutzer unakzeptablen Risiken ausgesetzt hat.

Fehlende Authentifizierung und Zugriffskontrolle auf die Berechnungsnotizen:

Jeder kann auf die Berechnungsnotizen anderer Benutzer zugreifen, indem er einfach die URL ändert, ohne sich anmelden zu müssen. Diese Berechnungsnotizen enthalten sensible Daten wie Personalausweisnummern und Adressen.

Offenlegung der CNPs insolventer Personen:

Der Endpunkt /bpi-published-persons/pf dezvăluie CNP-urile tuturor persoanelor fizice în stare de insolvență, alături de nume și prenume, la o simplă interogare cu o vocală.

HINWEIS: Die Namen wurden offengelegt, da es sich um Informationen handelte, die absichtlich öffentlich gemacht werden sollten.

Übermäßige Offenlegung von Informationen über die Funktion "INFORMATION - AKTENSTATUS":

Die Nutzung dieser Funktion offenbart eine Vielzahl potenziell sensibler Informationen über Unternehmen und zugelassene Einzelpersonen, einschließlich Kontaktdaten, Finanzinformationen und Details zur Backend-Infrastruktur.

Das Problem besteht über mehrere Endpunkte hinweg und offenbart:

    1. Die Kontaktdaten der Unternehmensvertreter, die durch Anfragen an das ONRC übermittelt werden
    2. Informationen über Unternehmen oder zugelassene natürliche Personen, einschließlich der Aktivitäten des Unternehmens, der Anzahl der Gesellschaftsanteile, des zuständigen Registrators, der Dauer des Unternehmens, des Insolvenzstatus usw.
    3. Kontakttelefonnummer, Faxnummer, mögliche E-Mail-Adresse, die beim ONRC angegeben ist,
    4. Alle bei ONRC gemeldeten Betriebsstätten,
    5. alle Informationen bezüglich der Mietkonditionen, Inkrafttreten und Ablauf (Dauer) dieser, Mietanbieter (einschließlich natürliche Personen),
    6. Details zur Backoffice-Infrastruktur, Details zu eingereichten Dokumenten von Personen, Details zu beteiligten Registratoren (BERC-Klon), Details zu Dokumenten und deren Klassifizierungsgrad (?)
0:00
/0:58

Offenlegung von Daten - In diesem Fall die Daten des eigenen Unternehmens, daher eine rechtliche Anzeige, die ausschließlich unsere Daten betrifft.

Erhalt von Dokumenten ohne Zahlung aufgrund fehlender Validierung:

Das System ermöglicht die Erstellung von Dokumenten wie Zertifikaten und Insolvenzverfahren ohne Überprüfung der Zahlung, wodurch der Zugang vor der tatsächlichen Zahlung der Dienstleistungen gewährt wird.

0:00
/0:29

Erhalt der Unternehmenshistorie / InfoCert auch ohne Zahlung - Schwachstelle myportal.ONRC.ro

Akzeptanz von leeren oder irrelevanten Dokumenten:

Die Plattform akzeptiert das Hochladen von leeren oder irrelevanten PDF-Dokumenten, die elektronisch signiert sind, anstelle der angeforderten Dokumente, und genehmigt diese automatisch ohne angemessene Überprüfungen. Die einzige Validierung erfolgt anhand des Dateinamens, der mit dem des generierten Dokuments übereinstimmen muss.

Diese Schwachstellen, die durch die von uns bereitgestellten Screenshots, Demonstrationsdateien und Videoaufzeichnungen wiederholt nachgewiesen wurden, sind ein Symptom für ein systemisches Problem in der Entwicklung und Verwaltung von digitalen Regierungsplattformen.

0:00
/0:35

Fehlende Validierung für welches Dokument in der Anfrage eingereicht wird. Es wurde eine andere Reservierung des Namens anstelle der Anfrage eingereicht.

Risiken und Implikationen: Jenseits der technischen Aspekte

Über die rein technischen Aspekte hinaus haben die Schwachstellen der MyPortal-Plattform tiefgreifende Auswirkungen auf die Sicherheit und das Vertrauen in die von staatlichen Stellen angebotenen digitalen Dienstleistungen.

Die Offenlegung persönlicher Daten erleichtert Straftaten wie Identitätsdiebstahl, Betrug und den missbräuchlichen Gebrauch von Informationen zu illegalen Zwecken.

Dar solche Vorfälle untergraben das Vertrauen der Bürger und der Wirtschaft in die Fähigkeit der öffentlichen Institutionen, ihre Daten zu schützen und sichere digitale Dienstleistungen anzubieten.

Schließlich scheint die Investition von 5.500.000 RON in die Implementierung automatisierter Tests und die Sicherheitsprüfung der Plattform nicht mit einem effektiven Service verbunden zu sein:

Das öffentliche Beschaffungsprogramm zur Umsetzung des Projekts ONRC v2.0
SLA für die ONRC-Plattform v2.0 - Test / Audit

Die Antwort der Behörden: Schnell und effizient

Obwohl wir die entdeckten Schwachstellen umgehend an das ONRC, das Nationale Cyber-Sicherheitszentrum (DNSC) und die Nationale Aufsichtsbehörde für die Verarbeitung personenbezogener Daten (ANSPDCP) gemeldet haben, war die Antwort der Behörden schnell, aber zunächst ineffizient.

Trotz der vorübergehenden Schließung der Plattform zur Behebung von Problemen für einige Stunden in der Hoffnung, die Probleme zu lösen, blieben die Sicherheitsprobleme bestehen, und es war notwendig, ein Video zu erstellen, in dem ich die Antwort scharf kritisierte, um eine ernsthafte Reaktion zu erzeugen.

Zum Beispiel hat ONRC nach dem ersten Versuch der Lösung lediglich den blauen Download-Button entfernt, ohne den API-Endpunkt zu blockieren, der die Datei tatsächlich herunterlädt:

Die Nummer des Berechnungsdokuments kann über die API geändert werden, und die Schwachstelle bleibt weiterhin bestehen.

Das Video wurde erstellt, um ein Warnsignal zu senden und die Notwendigkeit entscheidender und transparenter Maßnahmen seitens der Behörden hervorzuheben.

Die Vergleichsgeschwindigkeit der Antwort in anderen CVDs, die von uns gemeldet wurden, hat sich im ONRC und DNSC viel schneller bewegt, was wir auf die Berichterstattung an mehrere Schlüsselinstitutionen zurückführen, die somit ein starkes Signal hinsichtlich der Schwere der Probleme gesendet haben.

Die Frist zur Behebung der Schwachstellen betrug etwa 2-3 Tage.

Ein Aufruf zu Aktion und Verantwortung

Es ist an der Zeit, dass die rumänischen Behörden die Cybersicherheit mit der Ernsthaftigkeit angehen, die sie verdient. Über die technischen Aspekte hinaus ist ein grundlegender Mentalitätswechsel und eine Gewährleistung der Verantwortung auf allen Ebenen erforderlich.

Öffentliche Institutionen müssen der Sicherheit personenbezogener Daten absolute Priorität einräumen und die notwendigen Ressourcen für die Entwicklung und den Betrieb robuster und sicherer digitaler Plattformen bereitstellen.

Dar es ist entscheidend, eine transparente und proaktive Kommunikation mit der Öffentlichkeit im Falle von Sicherheitsvorfällen zu gewährleisten, um das Vertrauen der Bürger in die digitalen Regierungsdienste aufrechtzuerhalten.

Über die technischen Aspekte hinaus ist auch eine gesetzliche Reform erforderlich, die einen klaren Rahmen für Verantwortlichkeiten und Sanktionen für Institutionen schafft, die versagen, die Daten der Bürger zu schützen.

Nur durch strenge Maßnahmen und echte Konsequenzen für diejenigen, die die Cybersicherheit vernachlässigen, können wir auf einen echten Wandel in der Herangehensweise hoffen. Wenn der verantwortliche öffentliche Bedienstete nicht bestraft wird, leidet nur die öffentliche Institution, und folglich der Bürger, der nun höhere Steuern ertragen muss; das Problem wird nicht gelöst werden. Es müssen nachträgliche Analyseinstrumente für die Fälle implementiert und entsprechende Sanktionen/Maßnahmen ergriffen werden, um die Wiederholung derselben Fehler zu verhindern.

Fazit: Die Lektionen, die gelernt werden müssen

Die in der MyPortal-Plattform der ONRC entdeckten Schwachstellen sind ein Symptom eines größeren Problems - der Vernachlässigung der Cybersicherheit in den digitalen Regierungsdiensten.

Wir hoffen, dass dieser Vorfall als Weckruf für die rumänischen Behörden dient und die Notwendigkeit eines proaktiven, verantwortungsvollen und transparenten Ansatzes im Bereich der Cybersicherheit hervorhebt.

Es bedarf eines Paradigmenwechsels in der Art und Weise, wie öffentliche Institutionen mit der Datensicherheit der Bürger umgehen. Nur durch die Priorisierung der Cybersicherheit, die angemessene Zuweisung von Ressourcen, die Gewährleistung von Verantwortlichkeit und eine transparente Kommunikation mit der Öffentlichkeit können wir auf die Wiederherstellung des Vertrauens in die digitalen Regierungsdienste und die Schaffung eines sicheren Online-Raums für alle rumänischen Bürger hoffen.

Als Unternehmen haben wir die Pflicht, die Institutionen, die uns vertreten, zur Verantwortung zu ziehen und sicherzustellen, dass unsere Rechte im digitalen Zeitalter sorgfältig geschützt werden.

Wir hoffen, dass wir durch die detaillierte Darstellung dieser Schwachstellen und die Hervorhebung ihrer Implikationen einen konstruktiven Dialog anregen und konkrete Maßnahmen zur Verbesserung der Cybersicherheit in Rumänien erwirken können.

Angehängte Dokumente:

Benachrichtigung über das Problem

Details zur öffentlichen Beschaffung Plattform (30.000.000 EUR +)

Diese Materialien bilden die Grundlage unseres Vorhabens, und wir hoffen, dass sie als Ausgangspunkt für eine ehrliche und produktive Diskussion über die Cybersicherheit in Rumänien dienen werden. Es ist Zeit für Handlungen, Transparenz und Verantwortung - und das beginnt mit der Anerkennung der Probleme und dem festen Engagement, diese zu beheben.

Details zu öffentlichen Beschaffungen:

Automatisierte Testdienstleistungen + Sicherheitstests
Technische Auditkäufe zur Implementierung
Implementierung einer IT-Plattform zur Datenverarbeitung auf Ebene des ONRC

Tipps & Empfehlungen, Meinungen:

Gibt es Probleme mit dem ONRC vor dem Start der Plattform?

Ich denke schon. Gemäß den Bedingungen und Konditionen, die ich direkt aus dem Quellcode der Plattform erhalten und in LaTeX rekonstruiert habe (der Originaltext, umformatiert von ClaudeAI). Das gesamte rekonstruierten Dokument befindet sich im Abschnitt angehängte Dokumente.

DIN Allgemeine Geschäftsbedingungen für den Online-Zugang zu den Dienstleistungen der BPI„aus dem Quellcode datamined (ich habe nicht gesehen, ob es auf der Plattform vorhanden und aktiv ist, aber es beweist, dass die Probleme der Plattform bekannt waren)“

ONRC haftet nicht für Datenpannen
Die ONRC antwortet nicht, wenn Ihr Computer mit einem Virus infiziert wird.

Zusätzlich hatte die ONRC Verträge mit 2 Testeinheiten, der zweite über einen geringeren Betrag von 50.000 RON, bezeichnet als "technisches Audit", von einer Firma, die Pentesting durchführt. Weiß ONRC, dass die erste Dienstleistung schlecht erbracht wurde?

Wie kannst du deine Daten sicher aufbewahren?

Sobald deine Daten öffentlich zugänglich sind, steigt die Anzahl der Phishing- und Spear-Phishing-Angriffe, die du erhältst. Daher nutze die folgenden Schritte, um zu erkennen, ob es sich um einen Phishing-Versuch handelt:

Entschädigungen & Sanktionierung des Staates:

Personenbezogene Daten sind sowohl durch die DSGVO als auch durch die nationale Gesetzgebung geschützt. Da es möglich ist, dass Ihre personenbezogenen Daten von Dritten aufgrund der Plattform ONRC zugänglich oder sogar in einigen Fällen abgerufen wurden, Ich empfehle, mit einem Anwalt zu sprechen, da meiner Meinung nach (als Nicht-Anwalt) eine zivilrechtliche Haftung für Verschulden entstehen kann:

Art. 82 DSGVO – Recht auf Schadensersatz und Haftung - Datenschutz-Grundverordnung (DSGVO)
Jede Person, die durch einen Verstoß gegen diese Verordnung einen materiellen oder immateriellen Schaden erlitten hat, hat das Recht, vom Verantwortlichen oder Auftragsverarbeiter eine Entschädigung für den erlittenen Schaden zu erhalten. 1 Jeder Verantwortliche, der an der Verarbeitung beteiligt ist, haftet für den durch die Verarbeitung verursachten Schaden, der gegen diese Verordnung verstößt. 2 Ein Auftragsverarbeiter … Weiter lesen Art. 82 DSGVO – Recht auf Entschädigung und Haftung
Art. 1349 Neues Bürgerliches Gesetzbuch Deliktische Haftung Allgemeine Bestimmungen Zivilrechtliche Haftung
Art. 1349 Deliktsrecht Allgemeine Bestimmungen Zivilrechtliches Haftungsrecht Neues Bürgerliches Gesetzbuch 2011 Gesetz 287 2009

Aktualisierungen:

Aktualisierung #1: Eine überraschend gute Antwort vom ONRC

Als ich die Beschwerde an das ONRC gesendet habe, hatte ich nicht viel erwartet. Frühere Erfahrungen mit öffentlichen Institutionen hatten mich vorsichtig in meinen Erwartungen gemacht. Doch diesmal wurde ich angenehm überrascht.

Die ONRC hat prompt und zu meiner Überraschung sehr professionell geantwortet. Sie haben die angesprochenen Probleme direkt angegangen, bestätigt, dass sie Überprüfungen durchgeführt und Maßnahmen ergriffen haben. Darüber hinaus haben sie erwähnt, dass sie das Portal kontinuierlich überwachen und offen für Feedback sind.

Was mich am meisten beeindruckt hat, war der Ton der Antwort - respektvoll und sehr anständig. Es ist selten, dass man eine öffentliche Institution sieht, die sich für Feedback bedankt, das schwerwiegende Probleme betrifft, und die ein echtes Interesse an der Verbesserung der Dienstleistungen zeigt.

Obwohl eine einzige gute Antwort nicht alle Probleme des Systems löst, ist sie ein ermutigendes Zeichen. Sie zeigt, dass es Potenzial für eine bessere Kommunikation zwischen Institutionen und Bürgern gibt. Es ist ein vielversprechender Anfang, und ich hoffe, in Zukunft mehr Beispiele dieser Art zu sehen.

Aktualisierung #2 - Antwort des Ministers für Forschung, Innovation und Digitalisierung

Eine weitere ermutigende Antwort kam später von MCID, das begann, sich an der Lösung der Probleme der Plattform MyPortal.ONRC.ro zu beteiligen.


Herunterladbare Dateien (Pressemitteilung):