Datenpanne identifiziert am 7. September 2023, die nicht von CECCAR gemeldet wurde, mit über 50.000 Einzelpersonen, deren Informationen öffentlich zugänglich sind.
Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023
BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.
RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
An 7. September 2023 CECCAR, der rumänische Buchhalterverband, hat einen schweren Datenverstoß erlitten, der alle Wirtschaftsprüfer und Steuerberater betrifft.
Mit den folgenden öffentlich gemachten Informationen:
Vollständiger Name: Identifizierung der einzelnen Mitglieder.
Persönlicher numerischer Code (PNC): Eindeutige Kennung, die sensible Daten wie Geburtsdatum und Geschlecht enthält.
Adresse: Entweder Büroadressen oder Wohnadressen.
Geburtsdatum und -ort: Einschließlich spezifischer Lokalität, Hinzufügen zur persönlichen Identifikation.
Mobilfunknummern: Einige Beispiele enthalten Festnetznummern.
Postanschrift: Verschieden von der Wohn- oder Büroadresse.
Daten im Zusammenhang mit der Registrierung in CECCAR: Für die Öffentlichkeit bestimmt, aber in diesem Kontext immer noch vertraulich.
Personal Identification Number (CIP): Ein weiterer eindeutiger Bezeichner.
Staatsbürgerschaft: Dies könnte sensibel sein, da es die ethnische Zugehörigkeit andeuten könnte.
Mehr
Schwachstelle Schwierigkeitsgrad sehr gering
Die Schwachstelle ermöglichte den direkten Zugriff auf personenbezogene Daten über den Browser.
Benachrichtigungsversuch und offizielle Antwort
Die DPO sowie die offizielle Kontaktadresse von CECCAR wurden unverzüglich benachrichtigt und über die Schwere des Verstoßes, die Schritte zur Reproduktion des Problems und mögliche Lösungen informiert.
Gemeinsames Verhalten, das von der Anwaltskammer (UNBR) geteilt wird:
Wir haben die nationale Datenschutzbehörde in Kopie eingeschlossen, um sicherzustellen, dass der Verstoß ordnungsgemäß notifiziert wird, da vorherige Berichte über eine ähnliche Schwachstelle, die zum Lecken aller PINs (CNPs) von Anwälten, die bei einer Anwaltskammer registriert sind, führten, wurden ebenfalls nicht gemeldet.
Der vollständige Umfang des Berichts kann hier eingesehen werden (E-Mail-Download - PDF):
Der DPO von CECCAR, von http://daikokuten.ro/, hat uns darüber informiert, dass alle erforderlichen Maßnahmen ergriffen werden, um die Schwachstelle nach der Behebung ordnungsgemäß offenzulegen und die nationale Datenagentur informieren.
Schritte, die unternommen wurden
Der Schwachpunkt wurde am 10. September von unserem Validierungsteam als behoben markiert, wobei das technische Team die persönlichen Identifikationsinformationen vom Endpunkt entfernte.
Wir glauben, dass dies den Verstoß vollständig behoben hat.
Breach Period
Während wir nicht in der Lage waren, den Umfang der Schwachstelle zu validieren, glauben wir, dass die Verletzung für eine mindestens 6 Monate, nachdem das anfällige Programm identifiziert wurde, um haben seit 2021 zugänglich gewesen.
Bewertung des Risikos und CVSS-Details
Die Schwachstelle wurde anhand von Kritikalität, Auswirkung und Ausnutzbarkeit mithilfe des CVSS-Bewertungsmetrik bewertet. Geschätzte CVSS-Bewertung von:
CVSS Base Score: 7.5/10
Auswirkung Teilwert: 3.6/1o
Ausnutzungssubscore: 3.9/10
CVSS Temporal Score: 7.2/10
CVSS Environmental Score: 7.2/10
Modified Impact Subscore: 3.6/10
Gesamte CVSS-Bewertung: 7.2/10
Antwort von der ANSPDCP
Die nationale Datenschutzbehörde wurde nicht über den Verstoß informiert von der DPO von CECCAR, gemäß den Anforderungen des Gesetzes.
Am 3. Januar 2024 teilte uns die ANSPDCP mit, dass sie die Schwachstelle nicht finden konnten und forderten Beweise. Beweise wurden vorgelegt, einschließlich aller Daten, die von CECCAR geleakt wurden.
Wir glauben, dass jeder die Art und Weise kennen sollte, wie seine Daten verarbeitet werden. Obwohl wir Befürworter der Datenverarbeitung sind und selbst eine Plattform sind, die Analysen zur Gestaltung unserer Produkte einsetzt, glauben wir, dass dies verantwortungsvoll und mit entsprechender Offenlegung erfolgen sollte.
Das Verhalten von CECCAR, das sich dafür entschied, die Schwachstelle anstatt sie zu benachrichtigen, zu verbergen, ist ein Beweis für böswillige Aktivitäten auf ihrer Seite und der Versuch, das Versagen beim Schutz dieser Informationen zu verbergen.
Da eine ähnliche Verletzung der Vertraulichkeit von der Rechtsanwaltskammer in Rumänien unter den Teppich gekehrt wurde, in Bezug auf eine vorherige Benachrichtigung, haben wir beschlossen, die Betroffenen selbst zu benachrichtigen, um eine Vertuschung des Datenverstoßes zu verhindern.
Überprüfen Sie, ob Sie von dem Datenverstoß bei CECCAR betroffen waren:
Wir haben alle betroffenen Personen per E-Mail über den vollständigen Bericht über die Verletzung der Daten informiert.
Aufgrund des Mangels an Vertrauen und Bewusstsein (wir sind eine private Einrichtung) in Bezug auf den Verstoß haben wir uns entschieden, ein Werkzeug zu entwickeln, das Einzelpersonen dabei hilft, sicher festzustellen, dass sie verletzt wurden.
CECCAR - Datenpanne
Datenpanne identifiziert am 7. September 2023, die nicht von CECCAR gemeldet wurde, mit über 50.000 Einzelpersonen, deren Informationen öffentlich zugänglich sind.
— Stefan-Lucian Deleanu
CECCAR - Datenpanne
Update #1: 06.01.2024 00:48
Veröffentlichungsdetails
An 7. September 2023 CECCAR, der rumänische Buchhalterverband, hat einen schweren Datenverstoß erlitten, der alle Wirtschaftsprüfer und Steuerberater betrifft.
Mit den folgenden öffentlich gemachten Informationen:
Schwachstelle Schwierigkeitsgrad sehr gering
Die Schwachstelle ermöglichte den direkten Zugriff auf personenbezogene Daten über den Browser.
Benachrichtigungsversuch und offizielle Antwort
Die DPO sowie die offizielle Kontaktadresse von CECCAR wurden unverzüglich benachrichtigt und über die Schwere des Verstoßes, die Schritte zur Reproduktion des Problems und mögliche Lösungen informiert.
Gemeinsames Verhalten, das von der Anwaltskammer (UNBR) geteilt wird:
Wir haben die nationale Datenschutzbehörde in Kopie eingeschlossen, um sicherzustellen, dass der Verstoß ordnungsgemäß notifiziert wird, da vorherige Berichte über eine ähnliche Schwachstelle, die zum Lecken aller PINs (CNPs) von Anwälten, die bei einer Anwaltskammer registriert sind, führten, wurden ebenfalls nicht gemeldet.
Der vollständige Umfang des Berichts kann hier eingesehen werden (E-Mail-Download - PDF):
Antwort von CECCAR DPO
Der DPO von CECCAR, von http://daikokuten.ro/, hat uns darüber informiert, dass alle erforderlichen Maßnahmen ergriffen werden, um die Schwachstelle nach der Behebung ordnungsgemäß offenzulegen und die nationale Datenagentur informieren.
Schritte, die unternommen wurden
Der Schwachpunkt wurde am 10. September von unserem Validierungsteam als behoben markiert, wobei das technische Team die persönlichen Identifikationsinformationen vom Endpunkt entfernte.
Wir glauben, dass dies den Verstoß vollständig behoben hat.
Breach Period
Während wir nicht in der Lage waren, den Umfang der Schwachstelle zu validieren, glauben wir, dass die Verletzung für eine mindestens 6 Monate, nachdem das anfällige Programm identifiziert wurde, um haben seit 2021 zugänglich gewesen.
Bewertung des Risikos und CVSS-Details
Die Schwachstelle wurde anhand von Kritikalität, Auswirkung und Ausnutzbarkeit mithilfe des CVSS-Bewertungsmetrik bewertet. Geschätzte CVSS-Bewertung von:
Antwort von der ANSPDCP
Die nationale Datenschutzbehörde wurde nicht über den Verstoß informiert von der DPO von CECCAR, gemäß den Anforderungen des Gesetzes.
Am 3. Januar 2024 teilte uns die ANSPDCP mit, dass sie die Schwachstelle nicht finden konnten und forderten Beweise. Beweise wurden vorgelegt, einschließlich aller Daten, die von CECCAR geleakt wurden.
INCORPO.RO - OFFIZIELLE VERÖFFENTLICHUNG
Wir glauben, dass jeder die Art und Weise kennen sollte, wie seine Daten verarbeitet werden. Obwohl wir Befürworter der Datenverarbeitung sind und selbst eine Plattform sind, die Analysen zur Gestaltung unserer Produkte einsetzt, glauben wir, dass dies verantwortungsvoll und mit entsprechender Offenlegung erfolgen sollte.
Das Verhalten von CECCAR, das sich dafür entschied, die Schwachstelle anstatt sie zu benachrichtigen, zu verbergen, ist ein Beweis für böswillige Aktivitäten auf ihrer Seite und der Versuch, das Versagen beim Schutz dieser Informationen zu verbergen.
Da eine ähnliche Verletzung der Vertraulichkeit von der Rechtsanwaltskammer in Rumänien unter den Teppich gekehrt wurde, in Bezug auf eine vorherige Benachrichtigung, haben wir beschlossen, die Betroffenen selbst zu benachrichtigen, um eine Vertuschung des Datenverstoßes zu verhindern.
Überprüfen Sie, ob Sie von dem Datenverstoß bei CECCAR betroffen waren:
Wir haben alle betroffenen Personen per E-Mail über den vollständigen Bericht über die Verletzung der Daten informiert.
Aufgrund des Mangels an Vertrauen und Bewusstsein (wir sind eine private Einrichtung) in Bezug auf den Verstoß haben wir uns entschieden, ein Werkzeug zu entwickeln, das Einzelpersonen dabei hilft, sicher festzustellen, dass sie verletzt wurden.
Auf dieser Seite