Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023
BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.
RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.
Am 28. Februar 2023 wurde IFEP, eine Plattform, die in Zusammenarbeit zwischen Intra Connect SRL Bitte stellen Sie sicher UNBR (Die nationale Anwaltskammer)
Mit den folgenden öffentlich gemachten Informationen:
Vollständiger Name: Identifizieren aller Anwälte, die bei einer Rechtsanwaltskammer in Rumänien registriert sind.
Persönlicher numerischer Code (PNC): Ein eindeutiger Bezeichner, der sensible Daten wie Geburtsdatum, Geschlecht, Geburtsland usw. enthält.
Arbeits-E-Mail: E-Mails, die von der Rechtsanwaltskammer an Rechtsanwälte versandt wurden.
Legitimation Nummer: Seriennummer für die Legitimation, die direkt über ein Tool auf der IFEP-Seite abgeleitet werden könnte.
Schwierigkeitsgrad der Verletzlichkeit - Niedrig
Die Schwachstelle betraf einen offen zugänglichen und von Google indizierten Endpunkt, der es Angreifern ermöglichte, eine Liste aller Anwälte, deren zuständige Anwaltskammern, Arbeitsadressen und zugehörige PIN (CNP) herunterzuladen.
Der Endpunkt:
Es fehlten jegliche Authentifizierungs- oder Autorisierungsmaßnahmen
Es hätte nicht öffentlich zugänglich sein sollen, da es nicht in der IFEP-Anwendung verwendet wird.
War öffentlich sichtbar und wurde von Google Search indiziert.
Schritte, die unternommen wurden
Wir haben den Vorfall, dass eine private Endstelle von Google indiziert wurde und dass sie unbefugten Zugriff auf private Informationen ermöglichte, sofort an die Hilfsdesk-E-Mail-Adresse, die mit IFEP verbunden ist, gemeldet.
Wir haben verifiziert Eine Fehlerbehebung wurde innerhalb eines Tages nach der Benachrichtigung über die Schwachstelle implementiert..
Wir haben von der UNBR, IntraConnect S.R.L. oder einer anderen verantwortlichen Stelle keine Benachrichtigung erhalten, in der die getroffenen Schritte erläutert werden.
Wir haben keine offizielle Mitteilung der UNBR über das Ausmaß des Datenverlusts bemerkt.
Der Zeitpunkt, zu dem die Schwachstelle entdeckt wurde, fällt mit (aber ist nicht verwandt mit) dem Zeitpunkt der vorgeschlagenen Errichtung einer UNBR Cloud für Anwälte, und es ist möglich, dass die Anfälligkeit nicht offengelegt wurde, um eine bereits angespannte Diskussion innerhalb des Berufsstandes nicht weiter anzuheizen.
❗
ENTHÜLLUNG:
Wir haben die Schwachstelle entdeckt, als wir im Zusammenhang mit dem oben erwähnten Gesetzesvorschlag, der einen Mangel an Transparenz aufweist, den Datenverarbeiter sowie den Manager und Eigentümer der IFEP-Site recherchierten.
Im Gegensatz zum CECCAR-Verstoß ist dieser in Bezug auf Identitätsdiebstahl aufgrund des begrenzten Umfangs der betroffenen Informationen weniger schwerwiegend.
Da Rechtsberufe per se vertrauliche Informationen beinhalten, gehen wir davon aus, dass Kundinnen und Kunden bereits über persönliche Identifikationsnummern (PINs) verfügen. Konsensual, so dass wir glauben, dass die Risiken etwas geringer sind.
Während diese Schwachstelle ebenfalls eine geringe Anstrengung erfordert, da sie den Zugriff auf einen öffentlich indizierten und zuvor offen verfügbaren, unauthentifizierten Endpunkt beinhaltet, benötigt sie eine manuelle Interaktion durch einen Angreifer, um diese Schwachstelle auszunutzen.
Die zuvor gemeldete CECCAR-Schwachstelle führte zu einer unbefugten Offenlegung fast aller Daten, die in einem Identitätsdokument enthalten sind, wobei die Daten an normale und bösartige Benutzer der Anwendung gesendet wurden.
Im Gegensatz zum CECCAR-Verstoß glauben wir, dass dieser mit großer Wahrscheinlichkeit nicht in der Wildnis missbraucht wurde.
Breach Period
Während wir nicht in der Lage waren, den Umfang der Schwachstelle zu validieren, glauben wir, dass die Sicherheitslücke seit der ersten Entwicklung von IFEP bestand, die wir auf mindestens April 2021.
Wir schätzen, dass die Schwachstelle mindestens zwei Jahre lang nicht gefunden, in der Wildnis missbraucht oder offengelegt wurde.
Bewertung des Risikos und CVSS-Details - 5,5/10
Die Schwachstelle wurde anhand von Kritikalität, Auswirkung und Ausnützbarkeit mithilfe des CVSS-Bewertungsmaßstabs bewertet, mit einemGeschätzte CVSS-Bewertungvon:
CVSS Base Score:7.5/10
Auswirkung Unterbewertung:3.6/1o
Ausnutzungssubscore: 3.9/10
CVSS Temporal Score:7.2/10
CVSS Environmental Score: 5.5/10
Modified Impact Subscore: 1.8/10
Gesamte CVSS-Bewertung: 5.5/10
GDPR-Bericht
Wir konnten keinen offenen Bericht oder eine Offenlegung finden, um den Anforderungen der DSGVO an die Offenlegung zu entsprechen.
Während die GDPR-Verordnung eine Ausnahme von der erforderlichen Offenlegung in Fällen mit geringem Risiko für die Verletzung persönlicher Rechte vorsieht, glauben wir, dass es transparenter ist, die beteiligten Parteien über die Risiken und die getroffenen Maßnahmen zu informieren, insbesondere in einem Bereich, in dem die Menschen sich um die Privatsphäre ihrer Daten kümmern.
INCORPO.RO - OFFIZIELLE VERÖFFENTLICHUNG
Wir glauben, dass jeder die Art und Weise kennen sollte, wie seine Daten verarbeitet werden. Obwohl wir Befürworter der Datenverarbeitung sind und selbst eine Plattform sind, die Analysen zur Gestaltung unserer Produkte einsetzt, glauben wir, dass dies verantwortungsvoll und mit entsprechender Offenlegung erfolgen sollte.
Da in fast einem Jahr keine Maßnahmen ergriffen wurden, um die betroffenen Parteien zu benachrichtigen, und angesichts der jüngsten Enthüllung des Datenlecks im Zusammenhang mit dem IFEP glauben wir, dass es nur angemessen ist, die betroffenen Parteien über die Risiken zu informieren, denen sie ausgesetzt waren.
IFEP - Datenpanne
Öffentliche Bekanntmachung über Datenverstoß und fehlerhafte Behandlung des Verstoßes durch IFEP, privat entdeckt und gemeldet am 28. Februar 2023
— Stefan-Lucian Deleanu
IFEP - Datenpanne
Update #1: 06.01.2024 00:48
Veröffentlichungsdetails
Am 28. Februar 2023 wurde IFEP, eine Plattform, die in Zusammenarbeit zwischen Intra Connect SRL Bitte stellen Sie sicher UNBR (Die nationale Anwaltskammer)
Mit den folgenden öffentlich gemachten Informationen:
Schwierigkeitsgrad der Verletzlichkeit - Niedrig
Die Schwachstelle betraf einen offen zugänglichen und von Google indizierten Endpunkt, der es Angreifern ermöglichte, eine Liste aller Anwälte, deren zuständige Anwaltskammern, Arbeitsadressen und zugehörige PIN (CNP) herunterzuladen.
Der Endpunkt:
Schritte, die unternommen wurden
Wir haben den Vorfall, dass eine private Endstelle von Google indiziert wurde und dass sie unbefugten Zugriff auf private Informationen ermöglichte, sofort an die Hilfsdesk-E-Mail-Adresse, die mit IFEP verbunden ist, gemeldet.
Wir haben verifiziert Eine Fehlerbehebung wurde innerhalb eines Tages nach der Benachrichtigung über die Schwachstelle implementiert..
Wir haben von der UNBR, IntraConnect S.R.L. oder einer anderen verantwortlichen Stelle keine Benachrichtigung erhalten, in der die getroffenen Schritte erläutert werden.
Wir haben keine offizielle Mitteilung der UNBR über das Ausmaß des Datenverlusts bemerkt.
Der Zeitpunkt, zu dem die Schwachstelle entdeckt wurde, fällt mit (aber ist nicht verwandt mit) dem Zeitpunkt der vorgeschlagenen Errichtung einer UNBR Cloud für Anwälte, und es ist möglich, dass die Anfälligkeit nicht offengelegt wurde, um eine bereits angespannte Diskussion innerhalb des Berufsstandes nicht weiter anzuheizen.
Wir haben die Schwachstelle entdeckt, als wir im Zusammenhang mit dem oben erwähnten Gesetzesvorschlag, der einen Mangel an Transparenz aufweist, den Datenverarbeiter sowie den Manager und Eigentümer der IFEP-Site recherchierten.
Ähnlich wie bei unserer vorherigen Veröffentlichung Identifizierung, Meldung und Nicht-Meldung des Datenverstoßes in Bezug auf die Datenbank der CECCAR-Buchhalter, heute präsentieren wir einen ähnlichen, aber eingeschränkteren Fall, der alle rumänischen Anwälte betrifft.
Im Gegensatz zum CECCAR-Verstoß ist dieser in Bezug auf Identitätsdiebstahl aufgrund des begrenzten Umfangs der betroffenen Informationen weniger schwerwiegend.
Da Rechtsberufe per se vertrauliche Informationen beinhalten, gehen wir davon aus, dass Kundinnen und Kunden bereits über persönliche Identifikationsnummern (PINs) verfügen. Konsensual, so dass wir glauben, dass die Risiken etwas geringer sind.
Während diese Schwachstelle ebenfalls eine geringe Anstrengung erfordert, da sie den Zugriff auf einen öffentlich indizierten und zuvor offen verfügbaren, unauthentifizierten Endpunkt beinhaltet, benötigt sie eine manuelle Interaktion durch einen Angreifer, um diese Schwachstelle auszunutzen.
Die zuvor gemeldete CECCAR-Schwachstelle führte zu einer unbefugten Offenlegung fast aller Daten, die in einem Identitätsdokument enthalten sind, wobei die Daten an normale und bösartige Benutzer der Anwendung gesendet wurden.
Im Gegensatz zum CECCAR-Verstoß glauben wir, dass dieser mit großer Wahrscheinlichkeit nicht in der Wildnis missbraucht wurde.
Breach Period
Während wir nicht in der Lage waren, den Umfang der Schwachstelle zu validieren, glauben wir, dass die Sicherheitslücke seit der ersten Entwicklung von IFEP bestand, die wir auf mindestens April 2021.
Wir schätzen, dass die Schwachstelle mindestens zwei Jahre lang nicht gefunden, in der Wildnis missbraucht oder offengelegt wurde.
Bewertung des Risikos und CVSS-Details - 5,5/10
Die Schwachstelle wurde anhand von Kritikalität, Auswirkung und Ausnützbarkeit mithilfe des CVSS-Bewertungsmaßstabs bewertet, mit einemGeschätzte CVSS-Bewertungvon:
GDPR-Bericht
Wir konnten keinen offenen Bericht oder eine Offenlegung finden, um den Anforderungen der DSGVO an die Offenlegung zu entsprechen.
Während die GDPR-Verordnung eine Ausnahme von der erforderlichen Offenlegung in Fällen mit geringem Risiko für die Verletzung persönlicher Rechte vorsieht, glauben wir, dass es transparenter ist, die beteiligten Parteien über die Risiken und die getroffenen Maßnahmen zu informieren, insbesondere in einem Bereich, in dem die Menschen sich um die Privatsphäre ihrer Daten kümmern.
INCORPO.RO - OFFIZIELLE VERÖFFENTLICHUNG
Wir glauben, dass jeder die Art und Weise kennen sollte, wie seine Daten verarbeitet werden. Obwohl wir Befürworter der Datenverarbeitung sind und selbst eine Plattform sind, die Analysen zur Gestaltung unserer Produkte einsetzt, glauben wir, dass dies verantwortungsvoll und mit entsprechender Offenlegung erfolgen sollte.
Da in fast einem Jahr keine Maßnahmen ergriffen wurden, um die betroffenen Parteien zu benachrichtigen, und angesichts der jüngsten Enthüllung des Datenlecks im Zusammenhang mit dem IFEP glauben wir, dass es nur angemessen ist, die betroffenen Parteien über die Risiken zu informieren, denen sie ausgesetzt waren.
Auf dieser Seite