Zum Hauptinhalt springen

CECCAR - Datenpanne

Datenleck identifiziert am 7. September 2023, und nicht von CECCAR gemeldet, mit über 50.000 Personen, die ihre Informationen öffentlich zugänglich haben.

Stefan-Lucian Deleanu

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023

BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.

RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
https://www.linkedin.com/in/stefan-deleanu-94036417b/
https://www.facebook.com/stefatorus
MAIL: [email protected]

Update #1: 06.01.2024 00:48

Veröffentlichungsdetails

Auf 7. September 2023. CECCAR, der rumänische Buchhaltungsverband, hat einen großen Verstoß erlitten, der alle Expertenbuchhalter und zugelassenen Buchhalter betrifft.

Mit den folgenden Informationen:

  1. Vollständiger Name: Identifizierung der einzelnen Mitglieder.
  2. Persönlicher Identifikationscode (CNP): Eindeutige Kennung, die sensible Daten wie Geburtsdatum und Geschlecht enthält.
  3. Adresse: Entweder Büro- oder Heimadresse.
  4. Geburtsdatum und -ort: einschließlich genauer Ortsangabe, die zur persönlichen Identifikation beiträgt.
  5. Handynummern: Einige Beispiele beinhalten Festnetznummern.
  6. Postanschrift: Unterschiedlich von der Wohn- oder Büroadresse.
  7. Daten im Zusammenhang mit der Registrierung in CECCAR: Für die Öffentlichkeit bestimmt, aber in diesem Zusammenhang noch heikel.
  8. Persönliche Identifikationsnummer (PIN): Ein weiterer eindeutiger Bezeichner.
  9. StaatsbürgerschaftDas könnte heikel sein, da es auf die Ethnie hinweisen könnte.
  10. Mehr

Schwachstelle Schweregrad sehr niedrig

Die Schwachstelle erlaubte den Zugriff auf persönliche Daten direkt durch den Browser.

Benachrichtigungsversuch und offizielle Antwort

Der DSB und die offizielle Kontaktadresse von CECCAR wurden unverzüglich über die Einzelheiten des Vorfalls, die Schritte zur Reproduktion des Problems und mögliche Lösungen informiert.

Gemeinsames Verhalten von der Anwaltskammer (UNBR):

Wir haben die nationale Datenschutzbehörde in BCC gesetzt, um sicherzustellen, dass der Verstoß ordnungsgemäß gemeldet wird, da Vorherige Berichte, die sich auf eine ähnliche Schwachstelle bezogen, die zum Leaken aller PINs (CNPs) von Anwälten führte, die bei einer Anwaltskammer registriert waren, wurden ebenfalls nicht veröffentlicht..

Den vollständigen Bericht können Sie hier einsehen (Email Download - PDF):

Antwort von CECCAR DPO

Der DPO von CECCAR, von http://daikokuten.ro/, dass alle erforderlichen Maßnahmen ergriffen werden, um die Schwachstelle nach der Behebung ordnungsgemäß offenzulegen und informieren Sie die nationale Datenagentur.

Schritte

Die Verwundbarkeit wurde als gelöst markiert, nachdem wir sie am 10. September validiert haben.

Wir glauben, dass dies den Verstoß vollständig gelöst hat.

Breach-Zeitraum

Obwohl wir nicht in der Lage waren, das Ausmaß der Verwundbarkeit zu validieren, glauben wir, dass die Verletzung für mindestens 6 Monate, nachdem er das anfällige Programm identifiziert hat, sind seit 2021 zugänglich.

Risikobewertung und CVSS-Details

Die Schwachstelle wurde auf der Grundlage von Kritikalität, Auswirkungen und Ausnutzbarkeit unter Verwendung des CVSS-Scoring-Metriks bewertet, mit Geschätzte CVSS-Score von:

  • CVSS Basis Score: 7.5/10
  • Impact Subscore: 3.6/10
  • Ausnutzbarkeit Subscore: 3.9/10
  • CVSS Temporal Score: 7.2/10
  • CVSS Umwelt-Score: 7.2/10
  • Modifizierter Impact-Subscore: 3.6/10
  • Gesamtbewertung des CVSS: 7.2/10

Antwort von ANSPDCP

Die nationale Datenschutzbehörde wurde nicht über den Verstoß informiert von der DPO von CECCAR, gemäß den gesetzlichen Anforderungen.

Am 3. Januar 2024 teilte uns ANSPDCP mit, dass sie die Schwachstelle nicht finden konnten und forderten einen Beweis.

INCORPO.RO - OFFIZIELLE VERÖFFENTLICHUNG

Wir glauben, dass jeder wissen sollte, in welchem Umfang seine Daten verarbeitet werden. Wir sind zwar für die Verarbeitung und sind selbst eine Plattform, die Analytik verwendet, um unsere Produkte zu formen, aber wir glauben, dass dies verantwortungsbewusst und mit angemessener Offenlegung geschehen sollte.

Das Verhalten von CECCAR, das beschlossen hat, die Verwundbarkeit zu verbergen, anstatt sie zu benachrichtigen, ist ein Beweis für bösartige Aktivitäten ihrerseits und den Versuch, nicht in der Lage zu sein, diese Informationen zu schützen.

Da eine ähnliche Verletzung in Rumänien von der Anwaltskammer unter den Teppich gekehrt wurde, haben wir uns entschieden, die betroffenen Personen selbst zu benachrichtigen, um zu verhindern, dass die Datenverletzung verheimlicht wird.

Überprüfen Sie, ob Sie von dem CECCAR-Datenleck betroffen sind:

Wir haben alle betroffenen Personen per E-Mail kontaktiert und ihnen einen vollständigen Bericht über die betroffenen Daten zukommen lassen.

Allerdings, aufgrund des Mangels an Vertrauen und Bewusstsein (wir sind eine private Einrichtung) in die Lücke, haben wir beschlossen, ein Werkzeug zu machen, um Einzelpersonen zu helfen, zu erkennen, dass sie sicher verletzt wurden.