Wie funktioniert bresa Rejust.ro

Die Plattform ReJust.ro ist die Anwendung, über die Juristen sowie Bürger anonymisierte Versionen von Gerichtsakten einsehen können.

Im Normalfall sollte diese Anwendung einerseits keine personenbezogenen Informationen enthalten, die die Parteien im Verfahren gefährden könnten, und andererseits den Juristen Zugang zu den Informationen bieten, die sie benötigen, um das Verhalten der Gerichte in Bezug auf bestimmte häufige oder wiederkehrende Fälle zu verstehen.

Die Plattform muss daher das Bedürfnis der Rechtsuchenden nach Informationen mit dem Bedürfnis nach Sicherheit der sensiblen Daten der Parteien, Zeugen usw. in Einklang bringen.

Aktualisierung 27.08.2025: Informationen zur VIDEO-Lücke

Was war eigentlich die Lücke von ReJust.ro?

Die Hauptursache, die ReJust.ro am stärksten beeinträchtigte, war die mangelnde Verantwortung der Richter in den Gerichten, kombiniert mit dem Fehlen von Maßnahmen seitens der Betreiber der Plattform rejust.ro - das heißt, des Obersten Rates der Justiz.

Zunächst einmal waren viele Akten vollständig nicht anonymisiert, wobei blaue Tinte verwendet wurde, um das Passwort für den Zugriff auf die Akte "anzonymisieren".

Die Anzahl der Akten, die für diese Form der Nachlässigkeit anfällig sind, liegt im Hunderterbereich, was auf eine erste Hand mangelnde Aufmerksamkeit hinweist, die der Art und Weise gewidmet ist, wie die Daten später verarbeitet oder sogar veröffentlicht werden.

Die berufliche Nachlässigkeit der Gerichtsschreiber, kombiniert mit der institutionellen Gleichgültigkeit des CSM, hat dazu geführt, dass eine schwerwiegende, nicht technische Schwachstelle ungelöst blieb. In diesem Fall konnte jeder auf rejust den Begriff "verwendet das Passwort" suchen, um eine Liste von über 170.000 verwundbaren Akten zu erhalten.

Offensichtlich ist das Wort ohne Benutzer (in diesem Fall ist die Aktennummer nutzlos), aber dieser Aspekt ist sehr leicht zu beheben, wenn wir berücksichtigen, dass: a) die Anzahl der Akten in einem bestimmten Gericht, mit einem bestimmten Gegenstand, an einem bestimmten Datum unter 10 liegt, selbst in den geschäftigsten Gerichten. b) Das System dosare.just.ro ermöglicht eine erweiterte Suche über die API, und die meisten Suchwerkzeuge für Akten erlauben jetzt ebenfalls erweiterte Suchen.

Prüfen Sie die Akten auf rejust.ro und suchen Sie sie auf just.ro, um 2-3 Akten zu finden. Überprüfen und vergleichen Sie das Gerät, das Ihnen hilft, die genaue Akte zu identifizieren.

So hatten Sie auch die Aktennummer, die Sie von rejust.ro abrufen konnten. Analog und umgekehrt kann die Suche auf rejust.ro mit den Daten von just.ro durchgeführt werden.

Mit beiden hattest du Zugang zur elektronischen Akte, auf die du dich einloggen konntest.

Der nächste Schritt für einen böswilligen Akteur wäre gewesen, dieses Wissen zu nutzen, um sensible Daten zu exfiltrieren und Erpressungs- oder Informationsbeschaffungs-Kampagnen zu starten, usw. Daher die Schwere der Situation.

Nachdem die Datei rejust.ro de-anonymisiert wurde und das Passwort erhalten wurde, haben Sie vollständigen Zugriff auf die elektronische Akte, da Sie sowohl den Benutzernamen als auch das Passwort haben.

Wie haben wir Bresa entdeckt?

Die erste Meldung aus dem im August 2024 an die CSM übermittelten Paket war diese, und ich habe davon von einem Freund, einem Steuerberater, erfahren. Das Problem war so einfach, dass er es entdeckte und mir zufällig davon erzählte, ohne es jedoch zu melden. Ich habe es dann an die CSM gemeldet.

Die zweite Lücke werde ich mit weiteren Details füllen, sobald ich sicherstelle, dass sie behoben ist und das Risiko für die Opfer, von einer möglichen vorzeitigen Offenlegung betroffen zu sein, minimal bis nicht existent ist, selbst wenn dies auf das Verschulden des CSM zurückzuführen wäre.

Wen betrifft diese Sicherheitslücke?

Ungefähr 170.000 Akten, die in den Zuständigkeitsbereichen von Constanța, Cluj, Târgu Mureș, Pitești, Craiova und Timișoara liegen, wurden von jedem Gericht verwendet, das die elektronische Aktenplattform des Appellationsgerichts Cluj nutzte.

Die Mehrheit war in Constanta, Cluj, Pitesti konzentriert. Ein Teil der Ergebnisse zeigt andere Passwörter, aber diese machen etwa 10% der Akten aus. Von allen durchgesehenen Akten zur Validierung der Existenz der Lücke (~20-30) waren nur 2 falsch-positiv, das heißt, nur 2 wurden zusätzlich gezählt.

Wir schätzen, dass die tatsächliche Anzahl der verwundbaren Akten etwa 150.000 betrug, zuzüglich der von einer anderen Sicherheitslücke betroffenen Akten, die später detailliert werden, und dies stellt ein geringeres Schwierigkeitsniveau im Vergleich zur aktuellen Sicherheitslücke dar.

Die Kategorie mit dem höchsten Risiko für systematische Ausbeutung sind die Familien- und Minderjährigenakten. Diese umfassen 4.904 Fälle von Vermögensaufteilung und Auflösung des ehelichen Güterstands, 837 Fälle der Ausübung des Sorgerechts, 688 Fälle von Unterhaltszahlungen und 129 Schutzanordnungen.

Diese Akten enthalten sensible persönliche Daten, einschließlich Adressen, Finanzinformationen und psychologische Bewertungen, die priorisierte Ziele für Intelligence-Gathering-Operationen und Social Engineering darstellen.

Im Bereich der Wirtschaftskriminalität stellen die 376 Steuerhinterziehungsfälle und 698 Insolvenzanträge wertvolle Quellen für organisierte Wirtschaftskriminalitätsgruppen dar. Informationen über Finanzschemata, Bankkonten und Geschäftsbeziehungen können durch Erpressung, Insiderhandel oder den Verkauf auf dem Schwarzmarkt monetarisiert werden.

Empfindliche Strafakten, einschließlich 136 Fälle von häuslicher Gewalt, 52 Fälle von Zuhälterei und 20 Fälle von Menschenhandel, stellen ein hohes Risiko für eine Wiederopferung dar. Organisierte Kriminalitätsgruppen können diese Daten nutzen, um verwundbare Opfer zu identifizieren oder ihre eigenen Operationen durch die Kompromittierung von Zeugen zu schützen.

Vermögensstreitigkeiten, dargestellt durch 9.662 Vollstreckungsanfechtungen und 8.555 Erbschaftsfälle, bieten wertvolle Informationen für gezielte Angriffe. APT-Akteure können diese Informationen für Spear-Phishing, Pretexting oder andere Techniken zur gezielten Kompromittierung von Personen mit erheblichem Vermögen nutzen.

Was haben die öffentlichen Behörden getan?

DNSC hat seine Arbeit gemacht und die zuständigen Behörden benachrichtigt.

Niemand wurde für die entstandene Situation bestraft, es wurden keine Maßnahmen gegen irgendjemanden wegen des Problems ergriffen, und es scheint, dass die Gerichtsschreiber nicht geschult wurden, um zu verhindern, dass sich die Situation in Zukunft wiederholt.

Die ANSPDCP hat uns mitgeteilt, dass sie keine Behörde ist, die die möglichen Datenexfiltrationen seitens der Justiz überwacht und sanktioniert; diese Rolle obliegt dem CSM. Der CSM hat sich nicht selbst sanktioniert, sondern es vorgezogen, das Problem zu verbergen und die GDPR-Vorschriften nicht anzuwenden.

Nach fast 12 Monaten habe ich die zuvor als anfällig gemeldeten Websites besucht, um zu überprüfen, ob das Problem behoben wurde. Ich stellte fest, dass die Lösung oberflächlich war und weiterhin den Zugriff auf die Akten über das Passwort ermöglichte.

Heute Morgen habe ich die Institutionen erneut benachrichtigt und das Verfahren zur Offenlegung der bestehenden Schwachstelle eingeleitet, ohne dabei Risiken für die Opfer einzugehen. Aufgrund des öffentlichen Drucks hat der CSM das Problem in Rekordzeit gelöst.

Um 11:04 Uhr wurde die Problemlösung bestätigt, indem die Plattform mehrmals überprüft wurde, um sicherzustellen, dass keine Risiken für die Offenlegung sensibler Daten bestehen.

Ich habe die an die Justizbehörde gemeldeten Probleme als in den vergangenen Tagen gelöst bestätigt. In Bezug auf die von der Instanz genannten Punkte ergeben sich folgende Kritiken:

1. Selbst wenn die Website indirekt auf das ecris-System zugreift, besteht das Risiko, dass ein böswilliger Akteur, sobald er im System ist, Privilegieneskalation erlangen kann, insbesondere angesichts der veralteten Technologie-Stack-Natur und der Vernachlässigung von Cybersicherheitsstandards bei der Anwendungsentwicklung. Deshalb deutet die bloße Existenz der aktuellen Schwachstelle darauf hin, dass die Probleme im Hintergrund wahrscheinlich viel gravierender sind, und jeder motivierte böswillige Akteur riskiert, sie zu identifizieren und auszunutzen.
2. Wir hoffen, dass die Analyse dieser gründlich ist.
3. Sehr gut.
4. Das Problem war, dass eine SQL-Injection (direkte Interaktion mit der für die Webanwendung zugänglichen Datenbank) über die ID der Anwendung möglich war, und nicht, dass man auf andere Akten zugreifen konnte.
5. Sehr gut.

Antwort der Behörden nach der Wiederbenachrichtigung (Aktualisiert 14:43 18.08.2025):

Ich schlage vor, die Interaktion mit dem rumänischen Staat so transparent wie möglich zu gestalten, um eine konstruktive Lösung der Probleme zu erzwingen und Maßnahmen zur Verringerung des Risikos ähnlicher Probleme zu implementieren.

So stelle ich sicher, dass die Behörden das Wissen über das Problem nicht leugnen können oder versuchen, Lösungen außerhalb des rechtlichen Rahmens zu suchen.

Formelle Interaktionen (Kontakt):

Interaktionen mit der Webplattform:

Durch die Anwendung von Techniken zur Analyse von Webprotokollen habe ich die Zugriffsbereiche der Anwendung untersucht, um die Interaktion der öffentlichen Behörden mit der Sicherheitslücke hervorzuheben.

Interaktionen - Nationale Direktion für Cybersicherheit

Die erste Interaktion seitens des DNSC fand um 9:00 Uhr am 17.08.2025 statt, vor der Lösung der Schwachstelle durch das CSM, wahrscheinlich als Ergebnis des Eingreifens des DNSC.

Er hat strikt die Hauptseite der Website angesteuert, wahrscheinlich um die Quelle der vor einigen Stunden an die Institution gesendeten Benachrichtigung zu identifizieren.

Interaktionen - Rumänischer Geheimdienst

Eine kurze Dauer der durchschnittlichen Sitzungen deutet eher auf eine Art Informationsscan hin, bei dem die Betreiber den Inhalt schnell durchgegangen sind, um das Thema und das Niveau der öffentlichen Exposition zu identifizieren, ohne eine detaillierte Analyse jedes Materials vorzunehmen.

Dieses Verhalten ist charakteristisch für Vorprüfungen oder Awareness-Berichte, die darauf abzielen, Entscheidungsträgern eine zusammenfassende Darstellung des Reputationsrisikos und der potenziellen institutionellen Implikationen zu bieten.

Interaktionen - Nationale Antikorruptionsbehörde

Wir haben langanhaltende Interaktionen von einer IP überwacht, die direkt mit der Nationalen Antikorruptionsbehörde verbunden ist, was das Engagement der Antikorruptionsbehörden bei der Analyse der Sicherheitslücke belegt. Der Zugriff erfolgte ab 10:00 Uhr während der Arbeitszeiten.

Eine verlängerte Dauer der Websitzungen (in denen der Browser-Tab intermittierend geöffnet war), bei der der Inhalt des Materials sukzessive durchgegangen wird, erzeugt den Anschein, dass auf die Informationen zu Arbeitszwecken zugegriffen wird. Der Benutzer scheint die im Artikel analysierten Informationen sukzessive zu durchlaufen und zu analysieren.

Offizielle Antwort des CSM (Erneute Benachrichtigung) - Update 13.09.2025:

Leider hat der Oberste Rat der Justiz eine zögerliche Antwort gegeben, ohne seinen Fehler anzuerkennen und ohne die notwendigen Maßnahmen zu ergreifen, um solche Vorkommnisse in Zukunft zu verhindern.

Zunächst einmal, obwohl die Aussage, dass die nationale Aktennummer nicht abgerufen werden kann, wahr ist, ist dem CSM die Existenz der Plattform und der von portal.just.ro angebotenen APIs bekannt, einer vom Ministerium für Justiz mit europäischen Mitteln entwickelten Plattform.

Durch die Nutzung der kostenlosen Anwendung, portal.just.ro, kann ein Fingerabdruck des Geräts + Datum + Instanz + Aktenobjekt erstellt werden, um automatisch die nationale Nummer zu identifizieren.

Wir gehen davon aus, dass CSM sich dieser Risiken wahrscheinlich bewusst ist, da sie an der Implementierung der Plattform portal.just.ro beteiligt waren. Dennoch haben sie entschieden, dass das Risiko der De-Anonymisierung und eines späteren unbefugten Zugriffs kein ausreichendes Risiko darstellt, um eine Änderung zu erfordern, die möglicherweise die Anzahl der anonymisierten Daten verringert.

Die Behauptung, dass der CSM schnell interveniert hat, ist wahr, lässt jedoch außer Acht, dass die ursprüngliche und die sekundäre Intervention dieselben technischen Probleme betreffen, nämlich die mangelhafte Anonymisierung der Zugangspasswörter für die elektronischen Akten, die mit den auf rejust.ro sichtbaren Entscheidungen verbunden sind.

Dies bedeutet, dass die Interventionen tatsächlich ineffektiv waren, um das Problem zu lösen, da das Problem ein ganzes Jahr lang nicht behoben wurde. Sogar zuvor blieb die Lücke der Öffentlichkeit seit der Einführung der Plattform über einen viel längeren Zeitraum zugänglich.

In der Industrie würde eine solche Antwort als mindestens nachlässig angesehen werden. Letztendlich ignoriert die Verteidigung, in der CSM behauptet, dass die Allgemeinen Geschäftsbedingungen oder die Protokollierung notwendig sind, die Einfachheit, mit der Cyberakteure strafrechtlicher Verfolgung entkommen können, indem sie VPNs nutzen, um ihren tatsächlichen Standort zu verbergen.

Die Nutzung von VPNs erfolgt in großem Umfang, sie geschieht durch Verschleierung (was es schwierig macht, den tatsächlichen Nutzer des VPNs zu identifizieren, der zu diesem Zeitpunkt auf das System zugegriffen hat) und wird zudem selten protokolliert. VPN-Anbieter verkaufen diese Funktion als Vorteil - absolute Privatsphäre.

Implizit sind alle Sicherheitsmaßnahmen, die auf einer strafenden Reaktion basieren, nutzlos - die Strafverfolgungsbehörde wird nicht in der Lage sein, Maßnahmen zu ergreifen, um einen nichtstaatlichen böswilligen Akteur zur Rechenschaft zu ziehen.

Was die Risiken für die nationale Sicherheit betrifft, die sich aus der großen Menge an Big Data ergeben, die möglicherweise in der vorhergehenden Zeit verarbeitet wurden, kann die große Menge an Informationen genutzt werden, um persönliche Schwachstellen von Personen von Interesse zu identifizieren.

Zum Beispiel könnte ein staatlicher Akteur die streitige Vorgeschichte einer interessierten Person analysieren, feststellen, dass die betroffene Person pornografische Inhalte konsumiert (Informationen aus der elektronischen Akte der Scheidung des Opfers) und/oder ein nachgewiesenes untreues Verhalten aufweist, und beschließen, sie mit der Veröffentlichung von Dokumenten aus der Akte zu erpressen, um ihr politisches Kapital zu schädigen. Ein weiteres Beispiel ist die Analyse der Bestechlichkeit, indem das Verhalten im Zusammenhang mit finanziellen Streitigkeiten identifiziert wird.

Ein weiteres, extrem aber unwahrscheinliches Beispiel wäre die Analyse von Informationen aus medizinischen Gutachten oder medizinischer Dokumentation, um bestimmte Gesundheitsprobleme der Person zu ermitteln, die ausgenutzt werden könnten.

Alles wird zunehmend nützlicher, da die KI-Technologie die Analyse von Informationen im großen Maßstab und die Gewinnung nützlicher Verhaltensinformationen für raffinierte Angreifer ermöglicht.

Q&A: Cybersecurity-Krise im rumänischen Justizsystem

Unten finden Sie einige Antworten auf Fragen, die viele stellen könnten. Ich habe KI genutzt, um Fragen zu generieren, die rational aus den präsentierten Informationen hervorgehen.

Q: Wie haben Sie die Schwachstellen im rumänischen Justizsystem entdeckt?

Der erste Verstoß aus dem im August 2024 an die CSM gemeldeten Paket war dieser, und ich habe davon von einem Freund, einem Steuerberater, erfahren. Das Problem war so einfach, dass er es entdeckte und mir zufällig davon erzählte, ohne es jedoch zu melden. Ich habe es an die CSM gemeldet.

Mit 3 Klicks und der Verwendung des Ausdrucks "verwenden Sie das Passwort" konnten die Passwörter der Akten über ReJust.ro abgerufen werden. Die Mehrheit der Probleme erfordert einen Browser, eine Maus und eine Tastatur. Es sind keine speziellen Programme oder technischen Kenntnisse erforderlich, um sie zu nutzen.

Q: Was ist das tatsächliche Ausmaß der von Ihnen identifizierten Lücken?

Es gibt über 10 Lücken, die ich gemeldet habe, keine davon freiwillig angezeigt. Das Amtsblatt, das Berufungsgericht Cluj, der Oberste Gerichtshof und Militärgerichte, über 80 % der Gerichte in Rumänien waren betroffen.

Millionen von Bürgern waren betroffen, und der Grad der schwersten Exposition ist im Bereich der Gerichte zu finden, wo Dokumente aus elektronischen Akten medizinische Gutachten, Details zu häuslicher Gewalt und andere sehr sensible Informationen enthalten können.

Ungefähr 170.000 Akten, die in den Zuständigkeitsbereichen Constanța, Cluj, Târgu Mureș, Pitești, Craiova, Timișoara liegen, wurden von jedem Gericht verwendet, das die elektronische Aktenplattform des Berufungsgerichts Cluj nutzte.

Q: Welche Arten von sensiblen Daten sind durch diese Schwachstellen gefährdet?

Die Kategorie mit dem höchsten Risiko für systematische Ausbeutung sind die Familien- und Minderjährigenakten. Diese umfassen 4.904 Fälle von Vermögensaufteilung und Auflösung des ehelichen Güterstands, 837 Fälle der Ausübung des Sorgerechts, 688 Fälle von Unterhaltszahlungen und 129 Schutzanordnungen.

Im Bereich der Wirtschaftskriminalität stellen die 376 Steuerhinterziehungsfälle und 698 Insolvenzanträge wertvolle Quellen für organisierte Wirtschaftskriminalitätsgruppen dar.

Die sensiblen Strafakten, einschließlich 136 Fällen von häuslicher Gewalt, 52 Fällen von Menschenhandel und 20 Fällen von Menschenhandel, stellen ein hohes Risiko für eine Wiederopferung dar.

Q: Wie haben die Behörden reagiert, als Sie ihnen Ihre Probleme gemeldet haben?

Die ANSPDCP hat uns mitgeteilt, dass sie nicht die Behörde ist, die die möglichen Datenexfiltrationen seitens der Judikative überwacht und sanktioniert; diese Rolle obliegt dem CSM.

CSM hat sich nicht selbst sanktioniert, sondern bevorzugt, das Problem zu verbergen und die GDPR-Vorschriften nicht anzuwenden. Die Justizinspektion argumentierte, dass es keine problematische Handlung und keine Form von grober Fahrlässigkeit gebe, die zur Veröffentlichung von Passwörtern in Vorladungen geführt habe, die öffentliche Dokumente sind.

Nach fast 12 Monaten habe ich die zuvor als anfällig gemeldeten Websites besucht, um zu überprüfen, ob das Problem behoben wurde. Ich stellte fest, dass die Lösung oberflächlich war und weiterhin den Zugriff auf die Akten über das Passwort ermöglichte.

Q: Gibt es Beweise dafür, dass diese Schwachstellen aktiv ausgenutzt werden?

Ich kenne mehrere Fälle, in denen, nachdem ich die Behörden benachrichtigt und Sicherheitslücken öffentlich gemacht habe, Wirtschaftsakteure, die die späteren öffentlichen Enthüllungen gesehen haben, mir mitgeteilt haben, dass sie ähnliche Lücken aktiv nutzen, die der Staat noch nicht entdeckt hat, zu wirtschaftlichen Zwecken, aus Neugier usw. Die meisten Lücken waren seit Jahren offen und hätten jederzeit von staatlichen Akteuren ausgenutzt werden können.

Die Schwachstelle scheint in der freien Wildbahn ausgenutzt worden zu sein, was mir von einem Juristen mitgeteilt wurde, der das Problem bei der Recherche der über die Plattform rejust.ro zugänglichen Rechtsprechung identifiziert hat.

Q: Was ist nach der öffentlichen Darlegung der Schwachstellen von UNBR und CECCAR passiert?

Nachdem ich die Opfer benachrichtigt hatte, haben sie im Fall UNBR + CECCAR Strafanzeige gegen mich erstattet, die meiner Meinung nach eingestellt werden wird. Ein Beweis dafür, dass das System es vorzieht, Sündenböcke zu suchen, anstatt Maßnahmen zu ergreifen. Ich wurde etwa ein Jahr später als Zeuge geladen.

Der Staatsanwalt hat mir versichert, dass das, was ich tue, gut ist, aber er bringt mich auf Umwege. Ich wurde durch die Handlungen der Verantwortlichen, die darauf abzielen, Maßnahmen zu entmutigen, die zu ihrer Bestrafung führen könnten, Einschüchterungsversuchen ausgesetzt. Zum Beispiel stellt das Risiko, durch die Gerichte gehen zu müssen, sowie die Notwendigkeit, Geld für Anwälte aufzubringen, eine Form der Nötigung dar.

Q: Was ist die Rolle der Firma INTRACONNECT SRL in diesen Lücken?

INTRACONNECT SRL ist ein Beispiel für eine Entität, die für etwa 50 % der Sicherheitsverletzungen in den Informationssystemen öffentlicher Institutionen verantwortlich war. Derselbe Betreiber war auch für die UNBR, das eMAP-System und andere Plattformen zuständig, die ich nicht erwähnen werde.

Ich weiß nicht, wie die Verträge vergeben werden, ob es Sicherheitsüberprüfungen für diese gibt oder wie ihre Leistungen überwacht werden.

Q: Welche Risiken stellen diese Schwachstellen für die nationale Sicherheit dar?

Das System hatte mehrere kritische Probleme, die den Zugriff auf jedes Konto ohne Passwort ermöglichten. Ich denke auch, dass die Admin-Konten verwendet werden konnten, um alle Dateien zu überwachen, darunter Archive des Programms, das auf dem Informationssystem lief.

Langfristig könnten diese Probleme für Destabilisierungsmaßnahmen genutzt werden, beispielsweise durch die falsche Erklärung des Belagerungszustands in Zeiten, in denen die Reaktionszeit der Behörden länger sein würde. Ein Dekret könnte veröffentlicht werden, das den Kriegszustand festlegt, um Instabilität in der Bevölkerung zu erzeugen und eine Insurrektion auszulösen, um die staatliche Ordnung zu stürzen.

Q: Warum ergreift der CSM keine effektiven Maßnahmen zur Lösung der Probleme?

Der CSM nutzt die verfassungsmäßige Unabhängigkeit, um das Gesetz nicht zu respektieren, und beruft sich übermäßig auf die Unabhängigkeit der Justiz, um keine Sanktionen zu verhängen. Der CSM kontrolliert die Justizinspektion, die Richter, die die Verfahren gegen ihre eigenen Vorgesetzten korrekt beurteilen würden, aus dem System entfernen und arbeitslos machen kann.

Das System ist unrettbar korrupt, und es scheint, dass die Regierung oder die politische Macht es nicht unter Kontrolle halten können, aufgrund des enormen Einflusses, den das BVerfG zusammen mit dem CSM hat. Praktisch wird kein Gesetz verabschiedet oder angewendet, wenn sie das nicht wollen.

Q: Wie beeinflusst diese Situation ausländische Bürger und die internationalen Beziehungen?

Es sind Bürger aus Dutzenden von Staaten beteiligt, von Bürgern der USA bis hin zu deutschen, französischen, italienischen und emiratischen Staatsangehörigen usw. Ich habe Deutschland aufgrund der Strenge der DSGVO und des Einflusses innerhalb der EU benachrichtigt, Frankreich wegen der kulturellen Nähe und der Unterstützung, die sie uns seit unserer Unabhängigkeit als Land gegeben haben.

Rumänien hat beispielsweise abgelehnt, mir bei der Durchsetzung meiner Rechte zu helfen, mit der Begründung, dass ich rumänischer Staatsbürger und kein Ausländer bin. Rumänien betrachtet seine Bürger als verwaltbare Ressourcen, während Ausländer, da sie durch Botschaften geschützt sind, zusätzliche Rechte haben.

Es liegt nicht an den Ausländern, um es klarzustellen, sondern an uns, weil wir die Rechte unserer Mitbürger nicht respektieren, da sie keine ausländische Botschaft haben, die ihnen Gerechtigkeit garantiert.

Q: Was wird passieren, wenn keine dringenden Maßnahmen ergriffen werden?

Wir riskieren, dass die nationale Sicherheit ausgenutzt wird, sei es durch staatliche Akteure oder durch interne Akteure - Betrüger, Scammer, Hacker usw. Wahrscheinlich werden die Sicherheitslücken von Kriminellen ausgenutzt, und das Justizsystem wird unter dem Mangel an Vertrauen der Bevölkerung zusammenbrechen.

Richter riskieren, alle Vorteile zu verlieren, wenn sie nicht nachweisen können, dass sie diese verdienen. Es ist unwahrscheinlich, dass das System ohne Anstrengungen der Zivilgesellschaft, unabhängig von der politischen Ausrichtung, gereinigt wird.

Q: Was können Bürger tun, um Veränderungen zu erzwingen?

Meine Botschaft ist, sich an die Behörden zu wenden, auch wenn sie nichts gewinnen. Es ist eine Anstrengung, die unternommen werden muss, damit das Land sich erholt.

Andernfalls sollten sie zumindest die Hilfe der Europäischen Kommission in Anspruch nehmen, denn es würde ihnen nicht gefallen, mit der Tatsache erpresst zu werden, dass sie als Kinder missbraucht wurden, oder möglicherweise bedroht zu werden, dass ihren Kindern etwas zustoßen wird, wenn sie etwas unternehmen, da diese Schwächen aus den versehentlich von der CSM oder anderen Behörden veröffentlichten Dokumenten hervorgehen.

Einfach Bürger müssen die Abgeordneten zur Rechenschaft ziehen, Beschwerden bei der Kommission einreichen und die Botschaften ihrer Länder für Nicht-Rumänen kontaktieren.

Q: Warum setzen Sie diesen Kampf trotz der Repressalien und persönlichen Risiken fort?

Es ist eine moralische und patriotische Pflicht für einen Mann, der Kinder in Rumänien haben möchte. Ich glaube nicht, dass Rumänien in meiner Generation gerettet werden kann, aber ich finde Zufriedenheit darin, zu versuchen, das Land reicher zu hinterlassen, als ich es erhalten habe.

Ja, ich werde weiterhin Schwachstellen melden, ich habe auch das Risiko in Kauf genommen, möglichen Repressalien ausgesetzt zu sein, obwohl ich Maßnahmen ergriffen habe, um diese Risiken zu minimieren und institutionelle Missbräuche in andere Faktoren umzuwandeln, die international verfolgt werden können.

Q: Was ist Ihre Schlussfolgerung zur aktuellen Lage der Cybersicherheit in Rumänien?

Die Realität ist viel schlechter als die Wahrnehmung. Leider halten öffentliche Institutionen nicht einmal die grundlegenden Regeln der Cybersicherheit ein, haben Sicherheitsprüfungen nur auf dem Papier, ergreifen keine Maßnahmen und es gibt begründete Verdachtsmomente, dass dieses Verhalten in Zusammenarbeit mit der Unterstützung öffentlicher Institutionen und deren Interessengruppen geschieht.

Ein Mangel an Transparenz lässt uns stolzer auf die Situation erscheinen, als sie in der Realität ist, und macht uns anfällig für unerwartete Angriffe. Die Behörden und zuständigen Institutionen scheinen nicht gewachsen zu sein.

Q: Warum lernen die Institutionen nicht aus den wiederholten Sicherheitslücken und ergreifen keine präventiven Maßnahmen?

Institutionen lernen nicht aus wiederholten Lücken, weil die Daten der Rechtsuchenden irrelevant sind und die Risiken, denen einfache Bürger ausgesetzt sind, sie nicht betreffen.

Ungefähr 50 % der Probleme werden nur kosmetisch gelöst, insbesondere die, die minimalen Aufwand von den Nutzern erfordern - gerade die gefährlichsten, weil sie leicht missbraucht werden können.

Es gibt keine Sanktionen, sondern nur Vorteile - Sie müssen keinen anfänglichen Aufwand betreiben, sondern nur nach Bedarf. Wenn es keine Sanktionen gibt, ist ein Datenleck nur eine Aufgabe, die Sie in die Zukunft verschieben, keine Krise.

Q: Wie schätzt du die tatsächlichen Fähigkeiten von Kontrollbehörden wie DNSC und SRI ein?

Die DNSC hat begrenzte Fähigkeiten im Management, ähnlich wie die Sicherheitsinstitutionen wie der SRI. Die Justiz hat eine ernsthafte Macht und scheint sich von bestimmten Verantwortlichkeiten auszuschließen, angesichts der Autorität und der realen Macht, die sie als dritte Gewalt im Staat innehat.

Die DNSC ist sehr operativ, aber die Zunft der Justiz ist stark und oft widerständig gegenüber "Ordnung", weshalb die DNSC meiner Meinung nach in gewisser Weise eingeschränkt ist. Im letzten Jahr gab es zehntausende von Anfragen bei der DNSC, die darauf hindeuten, dass die Probleme zu häufig sind, doch es scheint, dass die Behörden sich weigern, den Anforderungen der DNSC nachzukommen.

Offensichtlich basiert das, was ich hier sage, auf den Effekten, die ich sehe, und auf den Zuständigkeiten, von denen ich weiß, dass sie die Entitäten haben, denn niemand gibt mir einen Bericht. Ich glaube jedoch, dass es ziemlich klar ist, wenn sich das Spiel ändert, und einige Antworten deuten auf eine Koordination hin, die eine Ausbildung in diesem Bereich erfordert.

Q: Welche Fälle erhalten schnelle Aufmerksamkeit und welche werden jahrelang ignoriert?

High-Stakes-Fälle beinhalten in der Regel brennende politische oder nationale Sicherheitsinteressen, bei denen der Einfluss der Sicherheitsinstitutionen den Einfluss der verantwortlichen Behörde übersteigt, die daher gezwungen ist, die erforderlichen Maßnahmen zu ergreifen, ohne sich zu drücken.

Bislang waren UNBR, CECCAR, CSM und das Amtsblatt die Hauptakteure, die aus Desinteresse widerständig gegenüber Lösungen waren; alle sind politisch stark und einflussreich. Bei vielen anderen Problemen haben sie Lösungen gefunden, aber nur, wenn institutionelle Bereitschaft und die Institution, die die Verwundbarkeit verwaltete, vorhanden waren.

Q: Warum werden die Opfer mehr als ein Jahr nach der Entdeckung der Sicherheitslücken nicht benachrichtigt?

Die Opfer werden nicht benachrichtigt, da die DSGVO in Rumänien ein unbeachtetes Konzept ist. Der CSM hat die Anwälte mehr als 11 Monate nach dem Vorfall noch nicht benachrichtigt und hat wahrscheinlich nicht vor, die Opfer aus Imagegründen zu informieren, obwohl das Gesetz ihn dazu verpflichtet.

Ich würde mich freuen, wenn einige Fachleute Klagen einreichen und Schadensersatz fordern würden, andernfalls werden diese Probleme niemals ernst genommen und man wird sich darüber lustig machen.

Q: Wie beweist die heutige Behebung, dass die Behörden die Probleme die ganze Zeit über kannten?

Heute Morgen habe ich die Institutionen erneut benachrichtigt und das Verfahren zur Offenlegung der bestehenden Schwachstelle eingeleitet, ohne dabei Risiken für die Opfer einzugehen. Aufgrund des öffentlichen Drucks hat der CSM das Problem in Rekordzeit gelöst.

Um 11:04 Uhr wurde die Lösung des Problems bestätigt, indem die Plattform mehrmals überprüft wurde, um sicherzustellen, dass keine Risiken für die Offenlegung sensibler Daten bestehen.

Jetzt sind die Daten korrekt anonymisiert, das Passwort wurde durch *** ersetzt. Dies zeigt, dass die CSM von der Schwachstelle wusste, sie jedoch bis zur öffentlichen Drucksituation aufrechterhielt.

F: Wie nutzen Fachleute diese Schwachstellen in ihrem "Werkzeugkasten"?

Es gibt viele verschiedene Anbieter von IT-Plattformen, die hauptsächlich verschiedene Aspekte der Interaktion mit dem Staat automatisieren, bis hin zu einfachen Fachleuten, die sich mit unbeabsichtigten fortgeschrittenen Funktionen informieren. Es gibt Dutzende von Personen, die die Probleme in Rumänien kennen.

Fachleute, die Schwachstellen in ihr professionelles Arsenal aufnehmen, da diese oft nützlich sind und niemals identifiziert werden, wenn sie aktiv missbraucht werden.

Wirtschaftsakteure betreiben alles, von Industriespionage bis zur Beschaffung von Daten, die andernfalls teurer wären.

F: Wie wird Rumänien auf europäischer Ebene hinsichtlich dieser Probleme überwacht?

Die EU ist relativ eingeschränkt in ihrer Fähigkeit, sich in das nationale Recht einzumischen, kann jedoch die Einhaltung ihrer Vorschriften verlangen, insbesondere wenn grenzüberschreitende Elemente vorhanden sind. Auch die Botschaften haben ein Interesse daran, ihre Staatsbürger zu schützen.

Ich habe bereits Erinnerungen an die Europäische Kommission gesendet, weil ich sie dort anstoßen möchte, wo die Dinge nicht durch Kombinationen gelöst werden können.

Q: Was ist die wahre Struktur der Macht hinter diesen Problemen?

Der Staat besteht aus Interessengruppen, von denen viele nicht am Wohlstand Rumäniens als Land interessiert sind. Nicht weil Ausländer uns schaden, sondern weil Rumänen uns schaden und von der Tatsache profitieren, dass wir keinen Gott oder Autoritäten haben.

Es ist klar, welche Risiken für die nationale Sicherheit bestehen, wenn man bedenkt, wie sensibel die über diese Akten zugänglichen Daten sind und wie hoch ihre informative Qualität in vielen Fällen ist.

Q: Was haben Sie persönlich in diesen Kampf investiert und welche Auswirkungen hat das auf Sie?

Ich habe Dutzende von Stunden investiert, um einige der kritischeren Probleme in diesem Bereich zu identifizieren, zu berichten, zu benachrichtigen und dann zu unterschreiben, um sie lösen zu können.

Der rumänische Staat bezahlt mir Flugtickets, damit ich aufgrund korrupten Personen meine Unterschrift leiste. Leider sind Berichterstatter wie ich größtenteils nutzlos, da ohne Druck von anderen Kräften, die die Verantwortlichen zur Rechenschaft ziehen, diese nur mit Kaugummi zusammengeklebt sind. Aber ich störe auf jeden Fall maximal.

Q: Was sind die schwerwiegendsten Risiken für Opfer, deren Daten offengelegt wurden?

Frauenhandel, Opfer von Vergewaltigung, missbrauchte Kinder, Menschen, deren persönliche Probleme öffentlich werden, Unternehmen, deren finanzielle Schwierigkeiten von öffentlichem Interesse sind.

Sie würden es nicht mögen, erpresst zu werden mit der Tatsache, dass sie als Kinder vergewaltigt wurden, oder möglicherweise bedroht zu werden, dass ihren Kindern etwas zustoßen wird, wenn sie etwas tun, da diese Schwächen aus den versehentlich von der CSM oder anderen Behörden veröffentlichten Dokumenten hervorgehen.

Organisierte Kriminalitätsgruppen können diese Daten nutzen, um verwundbare Opfer zu identifizieren oder ihre eigenen Operationen durch die Kompromittierung von Zeugen zu schützen.

Q: Was erwarten Sie von dem internationalen Druck und den Botschaften?

Ich erwarte, dass Deutschland und Frankreich Druck auf den rumänischen Staat ausüben, auch wenn dieser still ist. Ich werde mehrere Botschaften benachrichtigen, um sie ebenfalls zur Verantwortung zu ziehen und die Wahrscheinlichkeit zu erhöhen, dass sie gezwungen sind, Maßnahmen zum Wohle ihrer eigenen Bürger zu ergreifen, um nicht in ihrem eigenen Land kritisiert zu werden.

Ich benachrichtige die Botschaften der Reihe nach, in der ich dafür verantwortlich bin, um das Risiko zu verringern, dass sie möglicherweise Schwachstellen oder Informationen über die Schwächen des aktuellen Systems ausnutzen. Alle bisher benachrichtigten Botschaften gehören zur NATO, die meisten davon zur EU.

Relevante Dokumente (Original)

Diese Liste wird auch mit den Berichten ergänzt, die an die öffentlichen Behörden übermittelt werden, sobald die Lösung aller Probleme bestätigt ist, damit ich nicht ausschließlich redigierte Informationen veröffentliche, um die Daten der Opfer nicht noch mehr zu gefährden, als sie es bereits sind.

Einladung an alle, die zusätzliche Nachweise bezüglich des Verstoßes wünschen, Anträge gemäß dem Gesetz 544/2001 zu stellen oder mich per E-Mail unter [email protected] zu kontaktieren, wobei ich jedoch in der Menge der Informationen, die ich veröffentlichen kann, eingeschränkt sein werde.

Dar ich habe bereits den relevanten parlamentarischen Ausschüssen die Informationen übermittelt und hoffe, dass sie das Recht der Bürger verteidigen werden.

Berücksichtigen Sie, dass es die Rolle der Anwälte ist, die Parteien, die sie vertreten, und deren Privatleben zu schützen.

Ich werde mit den europäischen Behörden kommunizieren, um sicherzustellen, dass die Judikative denselben Verantwortungsstandard wie die anderen Staatsgewalten einhält.

Alte Ressourcen - Öffentliche Diskussionen: