Zum Hauptinhalt springen

IFEP - Datenpanne

Öffentliche Benachrichtigung über Datenverstoß und falsche Handhabung des Verstoßes durch IFEP privat gefunden und am 28. Februar 2023 gemeldet

Stefan-Lucian Deleanu

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023

BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.

RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.

Update #1: 06.01.2024 00:48

Veröffentlichungsdetails

Am 28. Februar 2023, IFEP, eine Plattform, die in Zusammenarbeit Intra Connect SRL und UNBR (Die nationale Anwaltskammer)

Mit den folgenden Informationen:

  1. Vollständiger NameIdentifizierung aller Anwälte, die in Rumänien zugelassen sind.
  2. Persönlicher Identifikationscode (CNP): Ein eindeutiger Identifikator, der sensible Daten wie Geburtsdatum, Geschlecht, Geburtsland, etc. enthält.
  3. Geschäfts-E-Mail: E-Mails, die von der Anwaltskammer an Anwälte geschickt wurden.
  4. Legitimationsnummer: Seriennummer zur Legitimation, die direkt über ein Tool auf der IFEP-Seite abgeleitet werden konnte.

Schwachstelle Schwierigkeit - Niedrig

Die Schwachstelle betraf einen öffentlich zugänglichen und von Google indexierten Endpunkt, der es Angreifern ermöglichte, eine Liste aller Anwälte, ihrer entsprechenden Bars, ihrer Arbeitsadressen und zugehörigen PINs (CNP) herunterzuladen.

Das Ziel:

  • Fehlende Authentifizierung und Autorisierung
  • Sollte nicht öffentlich zugänglich sein, da es nicht in der IFEP-Anwendung verwendet wird.
  • Was öffentlich sichtbar und von Google indexiert war.

Schritte unternommen

Wir haben sofort gemeldet, dass ein privater Endpunkt von Google indexiert wurde, und dass er unautorisierten Zugriff auf private Informationen erlaubt, an die Helpdesk-Email, die mit IFEP assoziiert ist.

Wir haben es überprüft. ein Fix wurde in einem Tag implementiert, seit der Benachrichtigung der Schwachstelle.

Wir haben keine Benachrichtigung von UNBR, IntraConnect S.R.L oder einer anderen verantwortlichen Einrichtung erhalten, um die ergriffenen Maßnahmen zu erläutern.

Wir haben keine offizielle Erklärung der UNBR über das Ausmaß des Datenverlustes bemerkt.

Das Datum der Entdeckung der Sicherheitslücke fällt mit dem Datum des Vorschlags zum Bau eines neuen Gebäudes zusammen. UNBR Cloud für AnwälteUnd es ist möglich, dass die Schwachstelle nicht bekannt gemacht wurde, um eine ohnehin schon angespannte Diskussion innerhalb der Branche nicht noch weiter zu verschärfen.

OFFENLEGUNG:

Wir haben die Schwachstelle gefunden, als wir den Datenverarbeiter, den Manager und den Besitzer der IFEP-Website im Zusammenhang mit dem oben genannten Gesetzesvorschlag untersucht haben.

Ähnlich wie bei unserer vorherigen Veröffentlichung der Identifizierung, Meldung und Nicht-Meldung des Verstoßes gegen die CECCAR-Buchhalter-DatenbankHeute präsentieren wir einen ähnlichen, aber doch eingeschränkteren Fall, der alle rumänischen Anwälte betrifft.

Im Gegensatz zum CECCAR-Datenleck ist dieses hier aufgrund des geringeren Umfangs der betroffenen Informationen weniger gefährlich.

Zusätzlich, aufgrund der Art der juristischen Berufe, glauben wir, dass Daten wie persönliche Identifikationsnummern (CNPs) bereits für Kunden verfügbar sind.

Obwohl diese Schwachstelle auch geringen Aufwand erfordert, da sie den Zugriff auf einen öffentlich indexierten und zuvor offen zugänglichen, nicht authentifizierten Endpunkt beinhaltet, erfordert sie eine manuelle Interaktion durch einen Angreifer, um diese Schwachstelle auszunutzen.

Die zuvor gemeldete CECCAR-Schwachstelle führte zu einer unbefugten Datenoffenlegung fast aller auf einem Personalausweis vorhandenen Daten, wobei die Daten sowohl an normale als auch an bösartige Benutzer der Anwendung gesendet wurden.

Im Gegensatz zu dem CECCAR-Leck, glauben wir, dass dieses hier deutlich weniger wahrscheinlich ist, dass es in freier Wildbahn ausgenutzt wurde.

Breach-Zeitraum

Obwohl wir nicht in der Lage waren, das Ausmaß der Verwundbarkeit zu validieren, glauben wir, dass die Verletzung seit der ursprünglichen IFEP-Entwicklung bestand, die wir mindestens bis April 2021.

Wir schätzen, dass die Schwachstelle nicht gefunden, ausgenutzt oder veröffentlicht wurde, für mindestens 2 Jahre.

Risikobewertung und CVSS Details

Die Schwachstelle wurde auf der Grundlage von Kritikalität, Auswirkungen und Ausnutzbarkeit unter Verwendung des CVSS-Scoring-Metriks bewertet, mit einemGeschätzte CVSS-Scorevon:

  • CVSS Basis Score:7.5/10
  • Impact Subscore:3.6/10
  • Ausnutzbarkeit Subscore: 3.9/10
  • CVSS Temporal Score:7.2/10
  • CVSS Umwelt-Score: 5.5/10
  • Modifizierter Impact Subscore: 1.8/10
  • Gesamtbewertung des CVSS: 5.5/10

DSGVO-Bericht

Wir haben keine offenen Berichte oder Offenlegungen gefunden, um den Anforderungen der DSGVO zu entsprechen.

Während die DSGVO-Verordnung eine Ausnahme von der Offenlegungspflicht in Fällen geringer Risiken für die Verletzung von Persönlichkeitsrechten vorsieht, glauben wir, dass es transparent ist, die betroffenen Parteien über die Risiken und die getroffenen Maßnahmen zu informieren, insbesondere in einem Bereich, in dem die Menschen die Privatsphäre ihrer Daten schätzen.

INCORPO.RO - OFFIZIELLE VERÖFFENTLICHUNG

Wir glauben, dass jeder wissen sollte, in welchem Umfang seine Daten verarbeitet werden. Wir sind zwar für die Verarbeitung und sind selbst eine Plattform, die Analytik verwendet, um unsere Produkte zu formen, aber wir glauben, dass dies verantwortungsbewusst und mit angemessener Offenlegung geschehen sollte.

Da in fast einem Jahr keine Maßnahmen ergriffen wurden, um die betroffenen Parteien zu informieren, und der kürzlichen Offenlegung des IFEP-Datenlecks, glauben wir, dass es nur vernünftig ist, den betroffenen Parteien die Risiken offenzulegen, denen sie ausgesetzt waren.