Zum Hauptinhalt springen

Das Justizsystem, anfällig für Hacking. Amtsblatt, BGH und viele andere, gehackt.

Hacker haben mehrere Schwachstellen in den Instanzen in Rumänien entdeckt, mit denen sie Urteile fälschen können, die für die Opfer unmöglich zu identifizieren sind - ICCJ, bisher keine Antwort.

Stefan-Lucian Deleanu

Publicație Oficială: ENTRYRISE S.R.L
Scop: Notificarea societății civile cu privire la existența mai multor brese care le-au vulnerabilizat securitatea datelor gestionate de instante si RAMO.

Detalii Breșa:
- Aproximativ 2,000,000 de dosare ale Curtii de Apel Cluj erau susceptibile sa fie exfiltrate de un atacator cu competente medii, dosare ce includeau date deosebit de sensibile
- Cel putin 100,000 de romani si persoane juridice din Romania au avut totalitatea documentelor din dosarul electronic public, documente cu sensibilitate deosebita:
- Cel putin 10.000 de romani si persoane juridice din Romania aveau anumite documente sensibile accesibile prin vulnerabilitatea IDOR


Riscuri:
- Furt de identitate (Peste 2,100,000 persoane vulnerabile)
- Santaj, acces informatii cu caractger deosebit de sensibil (Peste 2,100,000 persoane vulnerabile)
- Divulgare adresa + date din CI (Peste 2,110,000 persoane vulnerabile)
🦜
Diese Veröffentlichung wurde ursprünglich in rumänischer Sprache verfasst.Übersetzungen in andere Sprachen erfolgen automatisch und sind nicht garantiert, dass sie äquivalent sind.
🆕
Aktualisierung #1 - 04.09.2024: Infolge des Artikels antwortet die DNSC auf die Beschwerde bezüglich technischer Probleme, die durch die Verwendung des Standards SHA-1 entstehen, der die Fälschung von beglaubigten Entscheidungen ermöglicht, und ICCJ einberufen.
🆕
Aktualisierung #2 - 06.09.2024: Infolge des Artikels informiert uns die ANSPDCP (zu Recht), dass CSM und die Gerichte von der Kontrolle durch die Aufsichtsbehörden ausgenommen sind und ihre Kontrolle eigenständig ausüben.

Ihr Standpunkt ist rechtlich gültig und wurde am unteren Rand der Seite angefügt. Wir werden sehen, ob sich der CSM selbst sanktioniert oder sich selbst vergibt.
🆕
Aktualisierung #3 - 06.09.2024: Infolge des Artikels hat das Berufungsgericht Constanta, das für den Großteil der Sitzungsbeschlüsse verantwortlich ist, durch die Details zu den Zugangscodes der Akten offengelegt, uns geantwortet.

Die Antwort ist im Fußbereich der Seite zugänglich.

Obwohl die Technologie fortgeschritten ist und die Trends der "Digitalisierung" auch den Bereich der Justiz erreicht haben, ermöglicht eine schlecht durchgeführte Digitalisierung Hackern den Zugriff auf sensible Daten, das perfekte Fälschen von Urteilen jeglicher Gerichte (einschließlich des ICCJ) für weniger als 8.000 EUR sowie die Änderung oder Sabotage von Akten, die über ECRIS, das Verwaltungssystem der Justiz in Rumänien, eingereicht wurden.

Dieser Artikel soll das öffentliche Interesse an dem Grad aufzeigen, den öffentliche Institutionen zum Schutz ihrer Daten haben, und welche Gefahren den Bürgern drohen, da öffentliche Institutionen weiterhin nicht die notwendigen Maßnahmen ergreifen, um diese zu lösen.

💡
Alle veröffentlichten Schwachstellen wurden im Laufe der Zeit behoben. Ob wir von einer Lösung innerhalb von 2 Jahren oder in wenigen Tagen sprechen..

In diesem Artikel werden wir darüber sprechen, wie:

  • Es besteht die Möglichkeit, dass Hacker gefälschte beglaubigte Urteile bei jedem Gericht erhalten.für weniger als 8.000 EUR.
  • Jeder kann Gesetze im Amtsblatt veröffentlichen.durch ein breites Spektrum kritischer Schwachstellen, die seit zwei Jahren nicht behoben wurden.
  • CSM hat auf rejust.ro mehr als 40.000 Zugangspasswörter veröffentlicht. die sensiblen Akten mit Fällen aus dem Strafrecht, im Familienrecht.
  • Entscheidungen / sensible Dokumente aus Akten waren über Google zugänglich, da die elektronische Akte kein Passwort zum Anzeigen der Dateien hat.
  • Und andere

Durch diese konnten die Hacker:

  • Um Ihre familiären Probleme und die intimen Aspekte, die Sie hatten, zu erfahren., und die im Rahmen der Scheidung, der Vermögensaufteilung oder in Streitigkeiten über das Sorgerecht besprochen wurden. Sie könnten später Details über deine Familie veröffentlichen oder sogar den Zugang zu diesen Informationen verkaufen oder dich erpressen.

    Hat die Frau argumentiert, dass sie mit der Beziehung unzufrieden war, weil du im Scheidungsverfahren impotent warst? Oder hat sie vielleicht darüber gesprochen, dass du dein Kind schlägst? Kein Problem, jetzt ist alles öffentlich.
  • Die beruflichen Geheimnisse, die in der Akte erwähnt wurden oder über die in diesen diskutiert wurde, herausfinden: Deine böswilligen Wettbewerber konnten auf diese Informationen zugreifen.
  • Ändern Sie die Strafen für bestimmte Straftaten: Können wir uns darauf verlassen, dass die Richter festgestellt haben, dass tatsächlich eine Null gestrichen oder die Strafe für seltene Straftaten reduziert wurde? In der Vergangenheit ist es tausendmal gescheitert, Dokumente zu identifizieren, die nicht im Amtsblatt veröffentlicht werden sollten.
  • Details über das, was den Opfern eines Strafverfahrens widerfahren ist und was sie durchgemacht haben, zu erhalten.die Traumata, die sie haben, und wie sie diese ausnutzen können, um Opfer zu stehlen oder zu erpressen.

Die Betroffenen waren:

  • Ungefähr 2.000.000 Akten des Cluj Berufungsgerichts waren anfällig für eine Exfiltration durch einen Angreifer. mit mittleren Kompetenzen, Akten, die besonders sensible Daten enthielten:
    • Ein böswilliger Akteur Sie können Details zu den Dokumenten aus der elektronischen Akte in Strafsachen, Akten über Minderjährige, Akten über häusliche Gewalt/Minderjährige abrufen, die sehr sensible Informationen enthalten.
    • Ein böswilliger Akteur Es ist möglich, Dokumente herunterzuladen und zu lesen, die Dienstgeheimnisse, Geschäftsgeheimnisse, Bankgeheimnisse und ähnliche Dokumente enthalten, die von böswilligen Akteuren zugänglich gemacht werden.
  • Mindestens 100.000 Rumänen und juristische Personen aus Rumänien haben alle Dokumente aus der elektronischen Akte veröffentlicht.Lizenz, Dokumente mit besonderer Sensibilität:
    • Jede Person, auch ohne technische FähigkeitenSie können Details zu den Dokumenten aus der elektronischen Akte in Strafsachen, Akten über Minderjährige, Akten über häusliche Gewalt / Minderjährige erhalten, die sehr sensible Informationen enthalten.
    • Jede Person, auch ohne technische Fähigkeiten Es ist möglich, Dokumente herunterzuladen und zu lesen, die Dienstgeheimnisse, Geschäftsgeheimnisse, Bankgeheimnisse und ähnliche Dokumente enthalten, die von böswilligen Akteuren zugänglich gemacht werden.
  • Mindestens 10.000 Rumänen und juristische Personen aus Rumänien Es gibt bestimmte sensible Dokumente, die über die IDOR-Schwachstelle zugänglich sind.
    • Die Entscheidungen der Gerichte, die die Adresse, die CNP sowie andere Daten enthielten, mit denen ein Personalausweis gefälscht werden konnte, um Bankkredite von Nichtbankfinanzinstituten zu erhalten, sowie sensible Hinweise aus der endgültigen Entscheidung der Gerichte.
    • Gerichtszitationen, die die Adresse enthielten, an der eine Person wohnte.
Wir wissen, dass die Schwachstelle bezüglich öffentlich zugänglicher Passwörter in der Wildnis ausgenutzt wurde und von jedermann, selbst ohne technische Kenntnisse, verwendet werden konnte, da die Passwörter für Dateien und der Zugangstutorial öffentlich im Internet und auf rejust.ro zugänglich sind.

Wie kann ich herausfinden, ob ich betroffen bin?
Ich habe eine Liste von Personen vorbereitet, die mehr oder weniger von Verwundbarkeit betroffen sind:

  • Alle Personen, die Akten unter der Gerichtsbarkeit von Cluj hatten - Zugang zu den Akten.
  • Alle Nutzer bis 2024 des Amtsblattes (RAMO)
  • Alle Personen, die nach dem Datum, dem Gericht und der Art des Urteils suchen, das sie über rejust.ro erhalten haben, finden ihre Akte, indem sie die Suche "mit Passwort verwenden" nutzen - Offenlegung der gesamten Akte.

Kurze Übersicht:

Rumänien hat in den letzten Jahren bedeutende Schritte zur Digitalisierung unternommen, mit der Absicht, sich dem westlichen Block anzunähern, dem wir alle stark nacheifern. Obwohl der Wunsch nach Digitalisierung lobenswert ist, wirft die Art und Weise, wie dies umgesetzt wurde, viele Fragen auf:

  • Warum ist die Digitalisierung so teuer, wenn sie von einer öffentlichen Institution durchgeführt wird?
  • Warum haben fast alle öffentlichen Institutionen in Rumänien Datenlücken oder Systeme, die anfällig für Angriffe sind und voller Schwachstellen stecken?
  • Welchen Einfluss haben diese Versuche der "Digitalisierung" auf uns als Bürger?

Einer der wichtigen Bereiche in der Demokratie, die Justiz, wurde stark von diesen hastigen und planlosen Digitalisierungsentscheidungen betroffen, wobei viele Gerichte ad-hoc digitale Lösungen implementierten, die nicht den Branchenstandards entsprachen.

Von den SQL-Injection-Problemen, die die Modifikation regionaler ECRIS-Knoten (das System, in dem Akten, Kurzlösungen usw. gespeichert werden) ermöglichten, bis hin zu einfachen IDORs, die durch das Fehlen einer Authentifizierung für besonders kritische Informationen verursacht wurden, ist es an der Zeit, meine Probleme nicht länger für mich zu behalten und sie öffentlich zu machen.

Amtsblatt, von Hackern gehackt

Die autonome Einrichtung "Monitorul Oficial" (RAMO) ist die öffentliche Institution, die für die Verwaltung der Veröffentlichung von Gesetzen und die Gewährleistung ihrer Richtigkeit zuständig ist. Dies ist die Institution, die die Gesetze aufbewahrt und sie öffentlich macht, und das von RAMO verwendete System zur Bekanntmachung des Amtsblatts war anfällig.

In der Vergangenheit haben bestimmte Gruppen von Personen es geschafft, RAMO zu täuschen, um Gesetze zu veröffentlichen, die später über 1000 Mal von Gerichten zitiert wurden, was beweist, dass sobald ein Gesetz "veröffentlicht" ist, Die Instanzen erkennen nicht, dass sie nicht existieren sollten, und schauen nicht tiefer.

So kann sogar ein 13-jähriges Kind, das sich für IT begeistert kann im Amtsblatt veröffentlicht werden und Gesetze veröffentlichen, weil die Anwendung ohne jegliche Berücksichtigung der häufigsten und bekanntesten Angriffe entwickelt wurde:

  • SQL Injektion - Kritisches RisikoDie RAMO-Anwendung verwaltete den Zugriff auf die Datenbank nicht korrekt, wodurch Hacker sich mit jedem beliebigen Konto in der Anwendung anmelden und sensible Daten (z. B. Benutzerkonten) extrahieren konnten.
  • Verzeichnisliste - Mittleres RisikoDie Anwendung AutenticMonitor, die zum Zugriff auf alte Monitore verwendet werden konnte, die nicht in der neuen Anwendung "ExpertMonitor" indexiert waren, war anfällig für Directory Listing, was bedeutete, dass man die Dateien auf dem Server des Amtsblatts lesen konnte.
  • Unparierte Backup-Kopien - Hohes Risiko: Ein weiterer identifizierter Aspekt war die ungesicherte Speicherung von Backups auf dem Server, die wahrscheinlich den Quellcode sowie potenziell Kopien der Datenbank enthielten und ungesichert auf dem Webserver vorhanden waren. Ein Angreifer könnte diese Informationen nutzen, um Schwachstellen auf der Plattform zu identifizieren.
  • Fehlende Authentifizierung von Zeugenfotos - Niedriges Risiko: ExpertMonitor stellte der Öffentlichkeit nicht authentifizierte Beweisfotos zur Verfügung, was den "kostenlosen" Zugang zum Amtsblatt ermöglichte (in Rumänien muss man das Recht erwerben, auf Dokumente zuzugreifen, die man kennen muss, da man rechtlich verantwortlich ist, wenn man dies nicht tut), ein Aspekt, der von RAMO offensichtlich nicht beabsichtigt war.
Das veraltete Login-System des Amtsblatts, anfällig für SQL-Injection
Das veraltete Login-System des Amtsblatts, anfällig für SQL-Injection

Ergriffene Maßnahmen, die völlig ignoriert werden

Wir sind auf eine Reihe von Problemen gestoßen, während wir versucht haben, AutenticMonitor unter Windows 10 zum Laufen zu bringen (es erfordert ein Java-Applet - Applets, die nur mit Internet Explorer zugänglich sind), und haben versucht, es lokal neu zu erstellen, um eigenständig zu funktionieren.

Sobald die Probleme identifiziert wurden, haben wir am 17. Oktober 2022 umgehend RAMO über die bestehenden Probleme und die damit verbundenen Risiken informiert.

Die autonome Regie "Monitorul Oficial" wurde am 17. Oktober 2022 über mehrere schwerwiegende Sicherheitslücken informiert.
Die autonome Regie "Monitorul Oficial" wurde am 17. Oktober 2022 über mehrere schwerwiegende Sicherheitslücken informiert.

Ich habe keine Antwort bezüglich der Frist für die Lösung erhalten. Telefonisch (als wir RAMO kontaktierten) wurde uns mitgeteilt, dass sie verstanden haben, dass wir Marketing machen möchten, und sie luden uns nach Bukarest zu einem Gespräch ein..

Kurz gesagt, uns wurde eine Zusammenarbeit mit direkter Vergabe / manipuliertem Ausschreibungsverfahren als Antwort auf unser "Erpressung" angeboten, um Probleme zu melden.

Sie haben uns gesagt, dass die Anwendung von SIVECO entwickelt wurde und dass so die Programme im Staatssektor erstellt werden.

💡
Siveco ist ein IT-Unternehmen aus Rumänien, das 1992 gegründet wurde. Das Unternehmen ist auf die Softwareentwicklung spezialisiert. Zwischen 2011 und 2016 hat es über 100.000.000 EUR in Staatsverträgen gewonnen und ist das größte Unternehmen nach dem Gesamtwert der Verträge.

Siveco Hat über 400.000.000 RON mit Staatsverträgen zwischen 2011 und 2015 erzielt.
Siveco hat zwischen 2011 und 2015 über 400.000.000 RON mit Staatsverträgen erzielt.
Siveco hat zwischen 2011 und 2015 über 400.000.000 RON mit Staatsverträgen erzielt.

Ich habe abgelehnt und erwähnt, dass wir bereit sind, im Rahmen unserer zeitlichen Möglichkeiten pro bono zu helfen, jedoch nicht für die Entwicklung einer anderen Plattform, die mit Staatsgeldern finanziert wird.

Sie haben uns gesagt, dass sie die zuständigen Stellen benachrichtigt haben, aber "können den Namen am Telefon nicht nennen" (wahrscheinlich SRI oder STS), aber anscheinend wurden keine Maßnahmen ergriffen.

Deshalb, nach der Meldung eines weiteren Satzes von Schlüsselanfälligkeiten (UNBR + CECCAR) und dem Beginn der tatsächlichen Operationalisierung des DNSC (Nationales Direktorat für CybersicherheitIch habe das Set von Schwachstellen kommuniziert, die ich gemeldet habe und die nicht behoben wurden.

Die DNSC hat uns mitgeteilt, dass sie die notwendigen Maßnahmen ergriffen hat, um die betreffenden Institutionen zu informieren. Zu diesen Problemen gehörte auch die Situation des Amtsblatts sowie einige Schwachstellen, die die meisten Gerichte in Rumänien betrafen, über die wir später sprechen werden.

Die DNSC hat uns mitgeteilt, dass sie die notwendigen Maßnahmen zur Information der entsprechenden Institutionen ergriffen hat.
Die DNSC hat uns mitgeteilt, dass sie die notwendigen Maßnahmen zur Information der entsprechenden Institutionen ergriffen hat.

Unter diesen Problemen war auch die Situation des Amtsblattes sowie einige Schwachstellen, die die meisten Gerichte in Rumänien betrafen, über die wir später sprechen werden.

Um sicherzustellen, dass die Sicherheitsanfälligkeiten mit Auswirkungen auf die nationale Sicherheit korrekt gemeldet wurden, Ich habe der CyberInt-Abteilung die Schwachstellen mitgeteilt, die die Militärberufungsgerichte und das Amtsblatt betreffen.Angesichts der Jurisdiktion, die der SRI über diese hat, und der Gefahren, die von hybriden Angriffen oder von Desinformationskampagnen ausgehen, die darauf abzielen, Verwirrung vor einem möglichen militärischen Übergriff zu stiften.

Offensichtlich kann ein kreativer Akteur wie Russland andere Methoden finden, um solche Schwachstellen auszunutzen.

Interessant, in 12 Tagen werden verschiedene Angriffe auf die Abgeordnetenkammer viral, die die Aktivitäten des Amtsblatts koordinieren.

Cyberangriff auf die Abgeordnetenkammer. Ciolacus Bulletin ist in die Hände von Hackern gefallen.
Cyberangriff auf die Abgeordnetenkammer. Hacker haben die Datenbank der Institution gehackt und vertrauliche Informationen, einschließlich über den Premierminister, erlangt.

Obwohl der Angriff nicht von großer Tragweite zu sein scheint, erzeugt er medialen Druck, der die DNSC stärkt und den Prozess der "Bewaffnung gegen Hacker" einleitet, der notwendig ist, um solche Angriffe zu verhindern.

N.B.: Ich habe mit Kollegen darüber diskutiert, ob es vom SRI als Operation unter falscher Flagge gestartet werden könnte, um diese Schwachstellen zu "bewusst zu machen", jedoch blieb es ohne Beweise auf der Ebene von Spekulationen. In jedem Fall, bei einem solchen Bericht, bei dem Schweigen die Standardpraxis ist, sucht man Bestätigungen der ergriffenen Maßnahmen an verschiedenen Orten.

Was konnten die Hacker im Amtsblatt tun?

Angesichts der Natur der Anwendung ist es sicher, dass durch sie oder ihre Datenbank Gesetze veröffentlicht werden konnten, und durch die SQL-Injection-Schwachstelle kann dies von jedermann durchgeführt werden.

Also hatte jeder die Macht, Gesetze im Amtsblatt zu veröffentlichen, und die Chancen, dass diese identifiziert wurden, waren gering.

Erinnern wir uns daran, wie der Beruf des Rechtsberaters von der NGO-Föderation OCJR untergraben wurde, die das Amtsblatt dazu brachte, eine fiktive Satzung zu veröffentlichen, die Verpflichtungen auferlegte, die nicht vom Parlament unterstützt wurden.

Wie die Rechtsberufe in Rumänien unterwandert wurden
Untersuchen Sie die Herausforderungen und laufenden Ermittlungen im rumänischen Rechtsberuf und heben Sie die Notwendigkeit von Reformen und positiven Veränderungen hervor.

Erfahren Sie, wie der Beruf des Rechtsberaters missbraucht wurde und wie wir gekämpft haben, um dies zu stoppen.

Aufgrund der enormen Angriffsfläche ist es nahezu sicher, dass ein böswilliger Akteur die gemeldeten Schwachstellen sowie mögliche andere Schwachstellen, die wir nicht erkannt haben, ausnutzen konnte.

Übrigens hat das Amtsblatt kürzlich eine Datenpanne erlitten, was der Zeitpunkt war, nach dem wir bestätigt haben, dass die Sicherheitsanfälligkeiten behoben wurden.

Obwohl die Einzelheiten zu diesem Vorfall nicht öffentlich kommuniziert wurden, abgesehen von vagen E-Mails, die an Personen gesendet wurden, die ein Konto bei ExpertMonitor / AutenticMonitor hatten, ist sicher, dass sie unter einem erheblichen Datenleck gelitten haben, da frühere Maßnahmen (nicht vorhanden) nicht ergriffen wurden. es hat gezeigt, dass MO nicht auf kleinere Probleme reagiert.

4. April 2024 - Das Amtsblatt führt "Überprüfungs- und Wartungsarbeiten an den Anwendungen Expert Monitor und Autentic Monitor" durch.
4. April 2024 - Das Amtsblatt führt "Überprüfungs- und Wartungsarbeiten an den Anwendungen Expert Monitor und Autentic Monitor" durch.

Am 5. April 2024 werden sie in dieser Angelegenheit eine Mitteilung machen und die Personen auffordern, sich an den DPO von MO zu wenden.

Am 5. April 2024 hat das Amtsblatt einen "Vorfall in Form eines Cyberangriffs" erlitten.
Am 5. April 2024 hat das Amtsblatt einen "Vorfall in Form eines Cyberangriffs" erlitten.

Es ist sehr selten, dass Institutionen solche Maßnahmen ergreifen, weshalb wir die Initiative des MO loben, die gesetzlichen Verpflichtungen, die ihnen oblagen, einzuhalten.

Dennoch hat das Amtsblatt nicht erwähnt, dass:

  • Pünktlich, was ist mit dem "Vorfall eines Cyberangriffs" geschehen und welche Auswirkungen hatte er?
  • A Wurde die Anfälligkeit gefördert oder wurden sogar personenbezogene Daten offengelegt? Verfügt RAMO über ein Audit-Log, das zeigt, wer auf Informationen zugegriffen hat und welche Informationen?
  • Auf wie viele Konten / auf welche Daten hatten die Angreifer Zugriff? Früher haben wir betont, dass personenbezogene Daten, einschließlich Adressen, durch ein Verzeichnis aller Rechnungen / Proforma-Rechnungen offengelegt wurden, was der MO zur Kenntnis gebracht wurde. Darüber hinaus ermöglichte die SQL-Injection-Schwachstelle wahrscheinlich die Exfiltration von Daten aus der Datenbank. (Die meisten waren jedoch blind.)

Was sicher ist, ist, dass sie, obwohl sie über bestimmte Risiken informiert wurden, Risiken, die, sobald sie auftreten, Anzeichen für ein instabiles Fundament sind, das verstärkt werden muss, wenn nicht von Grund auf neu aufgebaut, keine Maßnahmen ergriffen haben, bis es zu spät war.

Diese Verhaltensweise ist zudem in öffentlichen Institutionen, insbesondere bei solchen mit "politischem Rückhalt", eher Standard, was zahlreiche Gefahren für die Demokratie mit sich bringt und unter keinen Umständen existieren sollte.

Berufungsgericht Klausen, anfällig für den Zugriff auf die regionale ECRIS-Datenbank

System ECRISDas heißt, das Interkonnektionssystem, das von der Justiz der EU verwendet wird und derzeit national in Form modularer Knoten, die jeweils von den Berufungsgerichten getrennt gehostet werden, implementiert ist, war aufgrund von Konfigurationsfehlern und schlecht geschriebenen Code-Snippets anfällig für Zugriffe.

Der Screenshot des Datei-Viewers, der anfällig für das Verzeichnislisting war

Von sich aus wäre diese Situation nicht problematisch gewesen, wenn sich auf dem Server des Gerichts nicht auch Backups der WordPress-Installation (+ Datenbank) und des von dem Gericht verwendeten ECRIS befunden hätten.

Die Backups der WordPress-Datenbank und der Installation enthalten auch die gehashten Formen der von Instanzen verwendeten Passwörter. Aufgrund der Natur einiger Websites, die auch von juristisch geschultem Personal aufgerufen werden müssen, besteht das Risiko, dass einige Passwörter möglicherweise nicht sicher sind und durch einen Brute-Force-Angriff (Versuch aller rational benannten Dateien) auf die Datenbank identifiziert werden können.

Die Backups für den Zugriff auf das ECRIS-System sind wahrscheinlich Klone der von dem Berufungsgericht Cluj verwendeten WEB-Anwendung, die die Angriffsfläche vergrößerten.

Zusammen machten die oben genannten 2 Schwachstellen fast sicher, dass es weitere Schwachstellen gab, die den Zugriff auf WordPress ermöglichten, von wo aus der Zugriff auf alle vom Webbenutzer gehosteten Anwendungen und, abhängig von der Windows-Version, auf den gesamten Server eskaliert werden konnte.

Die Backups für den Zugriff auf das ECRIS-System sind wahrscheinlich Klone der von dem Berufungsgericht Cluj verwendeten WEB-Anwendung, die eine Erweiterung der Angriffsfläche ermöglichten.

Reale Gefahr

Zusammen führten die beiden oben genannten Schwachstellen nahezu sicher zu weiteren Schwachstellen, die den Zugriff auf Wordpress ermöglichten, von wo aus der Zugriff auf alle vom Webbenutzer gehosteten Anwendungen und, abhängig von der Windows-Version, auf den gesamten Server eskaliert werden konnte.

Ich kann mit 80%iger Sicherheit sagen, dass durch diese Schwachstellen auf alle Akten in der Region Cluj zugegriffen werden konnte, was über 1.377.972 Akten bedeutet, einschließlich Akten mit Fällen wie:

  • Kindesmissbrauch
  • Akten mit Minderjährigen
  • Verstöße
  • Omoruri

Die abgerufenen Daten könnten verwendet werden, um Personen zu erpressen oder öffentlich offengelegt werden, um Chaos im Justizsystem zu erzeugen.

Ergriffene Maßnahmen und Auswirkungen

Die Verwundbarkeit des Berufungsgerichts Cluj wurde zunächst am 17. Oktober 2022 festgestellt.
Die Verwundbarkeit des Berufungsgerichts Cluj wurde zunächst am 17. Oktober 2022 festgestellt.

Ich habe die Schwachstellen umgehend an das Berufungsgericht Cluj kommuniziert.

Am 19. Oktober 2022 wurden wir benachrichtigt, dass die Probleme behoben wurden, und wir erhielten die Aufforderung, die Meldung von Sicherheitsanfälligkeiten fortzusetzen.

Dennoch hat der Systemadministrator des Berufungsgerichts nach einer gewissen Zeit (bestätigt Ende 2023) den Fehler gemacht, dieselben PHP-Skripte erneut zu implementieren, die das Auslesen von Informationen aus dem Webverzeichnis ermöglichten.

Eine spezialisierte Anwendung wie FIDDLER oder das Element untersuchen (Strg + Shift + I) war erforderlich, um die Schwachstelle auszunutzen.
Eine spezialisierte Anwendung wie FIDDLER oder das Element untersuchen (Strg + Shift + I) war erforderlich, um die Schwachstelle auszunutzen.

In der Folge wurde der Zugang zu bestimmten Sicherheitskopien gestattet, auch wenn die mit sensiblen Daten nicht mehr zugänglich waren.

Die Verwundbarkeit des Cluj Berufungsgerichts, die auch der DNSC mitgeteilt wurde, nach ihrem Wiederaufleben
Die Verwundbarkeit des Cluj Berufungsgerichts, die auch der DNSC mitgeteilt wurde, nach ihrem Wiederaufleben

Über 196 Fälle, die anfällig für IDOR sind

Aufgrund des Fehlens eines effektiven Authentifizierungssystems können auch heute noch Dokumente identifiziert und heruntergeladen werden, die im elektronischen Aktenzeichen des Gerichts veröffentlicht werden.

Dieses Problem ermöglichte die Exfiltration von CNPs, Adressen sowie sensiblen Details zu verschiedenen Fällen, einschließlich Fällen mit Minderjährigen, im Familienrecht oder anderen problematischen Bereichen, deren Offenlegung das Privatleben der Personen beeinträchtigen kann.

Dar aufgrund der fehlerhaften Konfiguration der Datei robots.txt al instantelor, un fisier care permite configurarea carui program automat (eg: Google, Bing) are acces la aceste informatii, aceste hotarari ajungeau sa fie indexate, chiar si acum fiind vizibile pe webarchive.

Die Instanzen haben später die Maßnahme ergriffen, diese Dateien aus dem Webarchiv zu entfernen, sie sind jedoch weiterhin auf CommonCrawl oder anderen spezialisierten Websites gespeichert, und die Implementierung eines Authentifizierungssystems, wie empfohlen, wurde nicht durchgeführt.

Unter diesen Instanzen befand sich auch der Oberste Kassations- und Justizhof, sowie die meisten Berufungsgerichte und alle Militärberufungsgerichte.

Liste der anfälligen Instanzen für IDOR:

  • Vrancea: Gericht Vrancea, Amtsgericht Adjud, Amtsgericht Focșani, Amtsgericht Panciu
  • Vaslui: Gericht Vaslui, Amtsgericht Bârlad, Amtsgericht Huși, Amtsgericht Vaslui
  • Tulcea Gericht Tulcea, Amtsgericht Babadag, Amtsgericht Măcin, Amtsgericht Tulcea
  • Timiș Berufungsgericht Timișoara, Tribunal Timiș, Militärgericht Timișoara, Amtsgericht Deta, Amtsgericht Făget, Amtsgericht Lugoj, Amtsgericht Sânnicolau Mare, Amtsgericht Timișoara
  • Teleorman: Gericht Teleorman, Amtsgericht Alexandria, Amtsgericht Roșiori de Vede, Amtsgericht Turnu Măgurele, Amtsgericht Videle, Amtsgericht Zimnicea
  • Suceava Berufungsgericht Suceava, Tribunal Suceava, Amtsgericht Câmpulung Moldovenesc, Amtsgericht Fălticeni, Amtsgericht Gura Humorului, Amtsgericht Rădăuți, Amtsgericht Suceava, Amtsgericht Vatra Dornei
  • Sibiu: Gericht Sibiu, Amtsgericht Agnita, Amtsgericht Avrig, Amtsgericht Mediaș, Amtsgericht Săliște, Amtsgericht Sibiu
  • Satu Mare Gericht Satu Mare, Amtsgericht Carei, Amtsgericht Negrești-Oaș, Amtsgericht Satu Mare
  • Prahova: Berufungsgericht Ploiești, Gericht von Prahova, Amtsgericht Câmpina, Amtsgericht Mizil, Amtsgericht Ploiești, Amtsgericht Sinaia, Amtsgericht Vălenii de Munte
  • Olt: Gericht Olt, Amtsgericht Balș, Amtsgericht Caracal, Amtsgericht Corabia, Amtsgericht Slatina
  • Mureș: Berufungsgericht Târgu-Mureș, Gericht Mureș, Spezialgericht Mureș, Amtsgericht Luduș, Amtsgericht Reghin, Amtsgericht Sighișoara, Amtsgericht Târgu-Mureș, Amtsgericht Târnăveni
  • Mehedinți: Gericht Mehedinți, Gericht Baia de Aramă, Gericht Drobeta-Turnu Severin, Gericht Orșova, Gericht Strehaia, Gericht Vânju Mare
  • Ilfov: Ilfov-Gericht, Buftea-Gericht, Cornetu-Gericht
  • Iași Berufungsgericht Iași, Gericht Iași, Militärgericht Iași, Amtsgericht Iași, Amtsgericht Hârlău, Amtsgericht Pașcani, Amtsgericht Răducăneni
  • Ialomița: Gericht Ialomița, Gericht Fetești, Gericht Slobozia, Gericht Urziceni
  • Hunedoara: Gericht Hunedoara, Amtsgericht Brad, Amtsgericht Deva, Amtsgericht Hațeg, Amtsgericht Hunedoara, Amtsgericht Orăștie, Amtsgericht Petroșani
  • Harghita Gericht Harghita, Gericht Gheorgheni, Gericht Miercurea Ciuc, Gericht Odorheiu Secuiesc, Gericht Toplița
  • Gorj: Gericht Gorj, Amtsgericht Motru, Amtsgericht Novaci, Amtsgericht Târgu Cărbunești, Amtsgericht Târgu Jiu
  • Giurgiu: Gericht Giurgiu, Amtsgericht Bolintin Vale, Amtsgericht Giurgiu
  • Galați Berufungsgericht Galați, Tribunal Galați, Amtsgericht Galați, Amtsgericht Liești, Amtsgericht Târgu Bujor, Amtsgericht Tecuci
  • Schuld: Berufungsgericht Craiova, Tribunal Dolj, Amtsgericht Băilești, Amtsgericht Calafat, Amtsgericht Craiova, Amtsgericht Filiași, Amtsgericht Segarcea
  • Dâmbovița: Gericht Dâmbovița, Amtsgericht Găești, Amtsgericht Moreni, Amtsgericht Pucioasa, Amtsgericht Răcari, Amtsgericht Târgoviște
  • Covasna Gerichtshof Covasna, Amtsgericht Întorsura Buzăului, Amtsgericht Sfântu Gheorghe, Amtsgericht Târgu Secuiesc
  • Constanța Berufungsgericht Constanța, Tribunal Constanța, Amtsgericht Constanța, Amtsgericht Hârșova, Amtsgericht Mangalia, Amtsgericht Medgidia
  • Cluj: Militärgericht Cluj
  • Caraș-Severin: Gericht Caraș-Severin, Amtsgericht Caransebeș, Amtsgericht Moldova-Nouă, Amtsgericht Oravița, Amtsgericht Reșița
  • Călărași Gericht Călărași, Amtsgericht Călărași, Amtsgericht Lehliu-Gară, Amtsgericht Oltenița
  • Buzău Gericht Buzău, Amtsgericht Buzău, Amtsgericht Pătârlagele, Amtsgericht Pogoanele, Amtsgericht Râmnicu Sărat
  • Bukarest: Der Hohe Gerichtshof für Kassation und Gerechtigkeit, das Berufungsgericht Bukarest, das Militärberufungsgericht Bukarest, das Tribunal Bukarest, das Tribunal Bukarest Versicherungen, das Militärgericht Bukarest, das Amtsgericht Sektor 1, das Amtsgericht Sektor 2, das Amtsgericht Sektor 3, das Amtsgericht Sektor 4, das Amtsgericht Sektor 5, das Amtsgericht Sektor 6
  • Brașov Berufungsgericht Brașov, Bezirksgericht Brașov, Familien- und Jugendgericht Brașov, Amtsgericht Brașov, Amtsgericht Făgăraș, Amtsgericht Rupea, Amtsgericht Zărnești
  • Brăila Gericht Brăila, Amtsgericht Brăila, Amtsgericht Făurei, Amtsgericht Însurăței
  • Botoșani: Gericht BOTOȘANI, Amtsgericht BOTOȘANI, Amtsgericht DARABANI, Amtsgericht DOROHOI, Amtsgericht SĂVENI
  • Bihor: Berufungsgericht Oradea, Bezirksgericht Bihor, Amtsgericht Oradea, Amtsgericht Aleșd, Amtsgericht Beiuș, Amtsgericht Marghita, Amtsgericht Salonta
  • Arad: Gerichtshof ARAD, Amtsgericht ARAD, Amtsgericht CHIȘINEU-CRIȘ, Amtsgericht GURAHONȚ, Amtsgericht INEU, Amtsgericht LIPOVA
  • Alba Berufungsgericht Alba Iulia, Amtsgericht Alba, Gericht Alba Iulia, Gericht Aiud, Gericht Blaj, Gericht Câmpeni, Gericht Sebeș

Wie könnte die Verwundbarkeit missbraucht werden:

Sehr einfach. Sie gaben bei Google "filetype:pdf site:[Website elektronischer Fall]" ein und erhielten Urteile / Ladungen / Dokumente aus den elektronischen Akten, die per E-Mail an die Rechtsuchenden oder Fachleute gesendet wurden.

Selbst jetzt können die Akten auf doc.iccj.ro mit der Wayback Machine durchsucht werden.

Was haben wir getan, um die Problemlösung zu fördern?

Ich habe umgehend CSM und DNSC über diese Schwachstellen informiert, die nun die Gerichte darüber in Kenntnis gesetzt haben, dass sie robots.txt-Dateien auf der Website platziert haben.

Wir haben ihnen vorgeschlagen, die Authentifizierung für die Ansichts-Endpunkte einzuführen, entweder mit einer 2FA unter Verwendung der E-Mail des Empfängers oder mit anderen Authentifizierungsmethoden. Es scheint jedoch, dass sie die angeforderten Maßnahmen nicht ergriffen haben, mit Ausnahme der De-Indexierung bei Google.

Die Zugangsdaten zu den elektronischen Akten, veröffentlicht von CSM:

Vor kurzem hat mir ein Nicht-Jurist ein schwerwiegendes Problem mitgeteilt, das anscheinend in der Wildnis ausgenutzt wurde (von Akteuren, die über dieses Problem auf die elektronischen Akten mehrerer Gerichte in Rumänien zugegriffen haben).

Ungefähr 40.000 elektronische Akten, einschließlich solcher in Fällen mit Minderjährigen, wurden aufgrund von Fehlern einiger Richter und aufgrund von Konfigurationsproblemen eines vom CSM bereitgestellten öffentlichen Systems offengelegt.

Das System rejust.ro anonymisierte die Zugangspasswörter zu den Akten nicht ausreichend, was es jedem ermöglichte, die Zugangspasswörter zu den Akten anderer zu suchen.

Obwohl es auf den ersten Blick so erscheinen mag, dass die Akten auf rejust.ro anonymisiert sind (in Bezug auf die Aktennummer), ist die Realität, dass sie sehr leicht durch die Suche nach Datum, Gericht, Gegenstand, Verfahrensstand und Entscheidung identifiziert werden können.

Es ist sehr einfach, die Akten von rejust.ro mit denen von just.ro zu verknüpfen, um den Inhalt jeder von den Gerichten angebotenen Lösung zu erfahren.

Ein Angreifer muss lediglich die Website des Gerichts besuchen, in Sintact oder einer anderen Aktensuchanwendung nach dem Gericht suchen, das zu diesem Zeitpunkt eine Entscheidung dieser Art getroffen hat, und optional den Tenor vergleichen, und bam! Er hat Zugriff auf die Akten und kann sie einsehen.

💡
Übrigens, als Randnotiz, suche ich meine Begründungen für die Akten zuerst in Rejust, da sie manchmal schneller veröffentlicht werden als im elektronischen Aktenordner.

Welche Objekte und welche Instanzen waren anfällig:

Nach Angaben von rejust.ro wurden die Akten, die in den Sitzungsbeschlüssen die Aktenzeichen veröffentlichten, von folgenden Stellen ausgestellt:

  • Gerichtshof Constanța: 16,21%
  • Amtsgericht Râmnicu Vâlcea: 10,7%
  • Gericht Constanța: 7,06%
  • Gericht von Klausenburg 6%
  • Gericht Turda 5,72%
  • Amtsgericht Bistritz: 4,72%
  • Gerichtshof Cluj: 4,3%
  • Gericht Sibiu: 3,9%
  • Gericht von Tulcea: 3,46%
  • Amtsgericht Babadag: 3,22%
  • Amtsgericht Baia Mare: 3,21%
  • Gericht Costești: 2,65%

In Prozent hatten diese Lösungen Gegenstände aus diesen Rechtsbereichen:

  • Bürgerlich - 64,53%
  • Strafe: 10,05%
  • Rechtsstreitigkeiten mit Fachleuten: 7,7%
  • Verwaltungs- und Steuerstreitigkeiten: 6,06%
  • Minoren und Familie: 4,55%
  • Arbeitsstreitigkeiten: 3,04%
  • Insolvenz: 2,61%
  • Soziale Versicherungen: 1,38%

Mehr als 15,98 % der betreffenden Akten hatten ein sensibles Thema, was 22.777 Akten entspricht, was bedeutet, dass:

  • 4.483 Akten mit dem Gegenstand aus der Kategorie "Minderjährige und Familie", davon ~1120 mit sichtbarem Passwortwas es jedem Dritten mit einem kostenlosen Konto auf rejust.ro ermöglichte, Details über das Privatleben von Personen, Informationen über Minderjährige sowie Angaben zu Streitigkeiten und Feststellungen von häuslicher Gewalt einzusehen, die als Beweismittel in solchen Fällen verwendet werden konnten.
  • 12.512 Akten mit dem Gegenstand aus der Kategorie "Strafrecht", davon ~3.128 mit sichtbarem Passwortwas Dritten erlaubte, Details über die Opfer zu lesen und sensible Informationen zu haben, mit denen sie erpressen konnten, unter anderem.
  • 1.718 Akten mit dem Gegenstand aus der Kategorie "Sozialversicherungen", davon ~429 mit sichtbarem Passwort, was es Dritten ermöglichte, Informationen über die Krankheiten / Gesundheitsprobleme Dritter zu erfahren.

Offensichtlich können auch die anderen 104.606 Akten nicht als frei von sensiblen Informationen betrachtet werden, da in zivilrechtlichen und streitigen Angelegenheiten Dokumente, die folgende Informationen enthalten, den Akten beigefügt sind:

  • Geschäftsgeheimnisse
  • Bankgeheimnis
  • Informationen zu verschiedenen sensiblen/kritischen Daten, die Fachleute betreffen können, wenn sie öffentlich werden.
  • Details zu familiären Problemen (z.B.: Erbschaftsprobleme, usw.)

Die Anzahl der wahrscheinlich zugänglichen sensiblen Daten ist besonders hoch, und die Tatsache, dass jede Person diese Schwachstelle ohne technisches Wissen ausnutzen konnte, ist problematisch.

Darüber hinaus zeigt die Tatsache, dass ich die Schwachstelle von einem Juristen erfahren habe, dass die Daten bereits missbraucht wurden.

Getroffene Maßnahmen:

Ich habe diese Probleme an die DNSC und an die CSM kommuniziert, die vorübergehende Maßnahmen ergriffen haben, um die Löschung der Informationen aus dem Webarchiv zu beantragen und die betreffenden Akten von Google zu deindexieren, aber sie haben kein Authentifizierungssystem vor der Einsichtnahme der Dokumente implementiert.

Sie haben den Opfern nicht mitgeteilt, dass sie Opfer von Datenpannen waren, da die Gerichte anscheinend nicht bereit sind, Datenpannen an die ANSPDCP zu melden, sodass niemand Maßnahmen ergreifen konnte, um die Verantwortlichen zur Rechenschaft zu ziehen.

Aktuelle Situation:

Das Problem besteht weiterhin, wenn auch in milderer Form, da Angreifer Seriennummern für Akten ausprobieren können, um willkürliche Informationen aus beliebigen Akten herunterzuladen. Da die Dateinamen (und die nicht authentifizierte URL) serielle und nach bestimmten Regeln formatierte sind, können in einer Nacht beliebige Dokumentenserien diskret de-anonymisiert werden.

Dar da die Dokumente öffentlich sind, sind die rechtlichen Schutzmaßnahmen gegen Angreifer (die zudem schwer zu identifizieren sind) nahezu nicht vorhanden, sodass der Kläger sich mit der Institution des Gerichts (BGH, Oberlandesgerichte) auseinandersetzen muss, was nicht einmal ein Urteilfehler, sondern eine mangelhafte Datenverwaltung ist.

Es ist von Interesse, ob der gesamte Staat verantwortlich ist oder ob die Institution des Gerichts verantwortlich sein wird, da es sich nicht um einen Fehler der Richter handelt, sondern um einen Fehler der Institution, die ihnen die Ressourcen zur Verfügung stellt, um zu funktionieren.

In jedem Fall wird der Anwalt, der Sie verteidigen sollte, ebenfalls verwirrt sein, wie er die Probleme angehen soll, sodass die Chancen, dass die Rechtsuchenden aufgeben und den Kopf senken, hoch sind.

Ein elektronisch beglaubigter Beschluss des ICCJ oder eines anderen Gerichts, unter 10.000 EUR.

Nun, schließlich ist eine weitere interessante Anmerkung das Problem der elektronischen Siegel der Gerichte, die in keiner Weise den verbindlichen europäischen Standards entsprechen.

Da der Notar eine Vollmacht oder ein anderes Dokument nicht "legalisieren" kann, während er auf der Toilette ist, sondern bestimmte Schritte durchlaufen, das Siegel anwenden und Reliefs auf den Seiten hinzufügen muss, sollten auch elektronische Unterschriften durch bestimmte Mechanismen geschützt werden.

Obwohl die Vorschriften und verbindlichen Standards der EU dies vorsehen, um schwerer zu identifizierende elektronische Fälschungen zu verhindern, halten die Gerichte in Rumänien, die Signaturen von CertSign verwenden, diese Verpflichtungen nicht ein und ignorieren die Anträge zur Korrektur dieses Aspekts.

Alle Zitationen im elektronischen Format, rechtlich nichtig

Um in die für die meisten Laien langweilige juristische Theorie einzutauchen, sieht das Gesetz vor, dass für die elektronische Zitierung erweiterte elektronische Signaturen verwendet werden. Darüber hinaus verleiht die europäische Verordnung qualifizierten elektronischen Siegeln die gleiche rechtliche Wirkung.

Das gleiche Regelwerk sieht vor, dass diese Siegel nahezu unmöglich zu fälschen sein müssen (Kosten von Millionen bis Milliarden EUR), damit sie die rechtliche Wirkung elektronischer Siegel haben.

Wenn diese Aspekte nicht eingehalten werden, ist die angewandte elektronische Unterschrift oder das fortgeschrittene elektronische Siegel nicht mehr qualifiziert, sondern hat lediglich Beweiskraft.

Wenn das Gesetz eine Formvoraussetzung vorsieht (wie z.B. dass es gestempelt sein muss, dass es handschriftlich unterschrieben sein muss, dass ich nicht weiß was), und man diese nicht einhält, tritt folgende Wirkung ein: ABSOLUTE Nichtigkeit (dieser Akt hat keine rechtlichen Wirkungen hervorgebracht und wird niemals rechtliche Wirkungen hervorrufen)

Wenn Sie elektronisch von einem Gericht in Rumänien zitiert wurden, sollten Sie wissen, dass diese Zitation rechtlich null und nichtig ist. Unten zeige ich Ihnen, wie Sie dies überprüfen können, und ich gebe Ihnen sogar eine Datei, mit der Sie dies tun können, sowie die Website, auf der Sie dies kostenlos durchführen können.

Die von der ICCJ in elektronischem Format ausgestellten Zitationen sind von Rechts wegen nichtig.
Die von der ICCJ in elektronischem Format ausgestellten Zitationen sind von Rechts wegen nichtig.
DSS-Demonstrations-Webanwendung

Kostenlose Plattform, die von der EU zur Validierung dieser Probleme bereitgestellt wird

Ich habe die Instanz in dieser Angelegenheit in einer erhobenen Ausnahme informiert, in der die Instanz die Gültigkeit einiger von uns verwendeter elektronischer Unterschriften abgelehnt hat (da sie die elektronische Unterschrift anhand des "Bildes" überprüfen).

Darüber hinaus, da das Gesetz die Verwendung der "Qualifizierten Elektronischen Signatur" per Fax erlaubt (technisch unmöglich, man muss nur einen QR-Code mit dem Hash und den verwendeten Zertifikaten der Signatur bereitstellen), ist klar, dass der Gesetzgeber keine Ahnung von elektronischen Signaturen hat und sie nicht versteht.

Die Antworten des ICCJ und der anderen Institutionen, kryptisch oder absurd

Ich habe Maßnahmen ergriffen, die Antworten des ICCJ und der zuständigen Institutionen waren kryptisch, rechtswidrig oder schlichtweg absurd.

ICCJ - Auf dem Stand der Verwaltungsbeschwerde, weil uns die Informationen von öffentlichem Interesse nicht bereitgestellt wurden:

Da ich gesehen habe, dass der ICCJ sich der Bereitstellung dieser Informationen entzieht (die gesetzliche Frist ist bereits zweimal abgelaufen), habe ich eine Verwaltungsbeschwerde eingereicht, wie es das Gesetz vorsieht. Glücklicherweise ermöglicht mir ClaudeAI, schnell Verwaltungsbeschwerden einzureichen.

ADR - Teilweise und ausweichende Antwort

Wir haben die ADR um Stellungnahme zu mehreren Informationen gebeten, um die Situation der von den Gerichten ausgestellten Rechtsakte zu klären. Daher haben wir die folgende Adresse an die ADR gesendet:

Ihre Antwort, obwohl mit dem Anschein von KorrektheitEr antwortet nicht auf Fragen, sondern sagt nur, dass der Anbieter akkreditiert ist. Nur weil X Notar ist, bedeutet das nicht, dass X ein Dokument korrekt legalisiert hat und dass es rechtliche Wirkung hat.

In der Praxis weigert sich die ADR, in die Tiefe des Problems einzutauchen, und analysiert es äußerst oberflächlich, entweder aufgrund mangelnder technischer Kompetenzen (obwohl sie juristische Kompetenz haben) oder aus böser Absicht, da sie mit CertSign befreundet sind, die sie lizenziert haben.

Als wir das Fehlen von Antworten reklamierten, haben sie sich auf das Verfahren berufen, gerade weil die Probleme in Verbindung mit einem Verfahren zur Gründung einer Gesellschaft gemeldet wurden, das sich nun in der Berufungsphase beim Obersten Gerichtshof befindet.

Der Präsident der ADR, mit dem ich zuvor mehrfach, sowohl telefonisch als auch über LinkedIn, gesprochen habe, ignoriert die Probleme, obwohl er sie kennt.

Solvit Rumänien erklärt vage, dass die Bürger Rumäniens nicht durch das europäische Recht geschützt sind.

Solvit Rumänien, eine europäische Institution, die sich an der Durchsetzung der europäischen Vorschriften, einschließlich der Verwaltungsverfahren der Gerichte, beteiligen kann, zieht sich zurück.

Offensichtlich ist die Antwort von SOLVIT ROMANIA absurd, da die europäischen Vorschriften sowie der grundlegende Vertrag, auf dessen Grundlage SOLVIT arbeiten muss, dies verbieten, wie ich hier erklärt habe:

Generalsekretär des Außenministeriums, Lucreția TănaseEr muss die Situation analysieren.

Erklärvideo (sehr technisch):

Als ich mich (vergeblich) an die DNSC gewandt habe, habe ich ein Video präsentiert, in dem ich theoretisch über das Problem gesprochen habe, das die Fälschung von beglaubigten Beschlüssen ermöglicht.

Alte Probleme (demnächst):

Wir erwarten die Lösung weiterer Schwachstellen, die nach deren Behebung durch den CSM / die Gerichte in Zusammenarbeit mit dem DNSC veröffentlicht werden.

Sie beinhalten:

  • Instanzen von SQL-Injection in der ECRIS-Datenbank (Lösungen können angepasst werden)
  • Andere, zu denen ich noch keine Details geben kann

Fazit

Ich werde abrupt schließen, da die Realitäten für sich selbst sprechen und es keinen Sinn hat, das Offensichtliche zu diskutieren oder zu spekulieren.

Es ist jedoch sicher, dass das Justizsystem, das Rumänien unterstützt, weiterhin stark anfällig ist, aufgrund der ständigen Fehler, die von den in diesen Institutionen beschäftigten Personen gemacht werden, die gegenüber Problemen nachlässig und gegenüber Gefahren und den Schäden, die den Opfern zugefügt werden, gleichgültig sind.

Momentan kümmern sich öffentliche Institutionen kaum um Ihre Daten, es ist ihnen egal, ob Sie erpresst werden, und es ist ihnen egal, ob sensible Informationen über Ihr Familienleben bekannt werden.

In keinem meiner Schritte wurden die Opfer über die Schwachstellen informiert. Die einzige Mitteilung, die von RAMO gemacht wurde, war vage und informierte die Öffentlichkeit nicht über die Auswirkungen; sie erfolgte erst nach einem tatsächlichen Angriff.

Nachdem wir ihnen mehrmals die Probleme mitgeteilt haben. Die anderen Institutionen haben oft nicht einmal Maßnahmen ergriffen, geschweige denn, dass sie die Datenpannen, die ihre Integrität beeinträchtigt haben, gemäß den gesetzlichen Vorgaben gemeldet haben.

Und wenn die gemeldeten Probleme nicht benachrichtigt werden, werden dann die heimlich gemachten jemals von den Institutionen erkannt und ergreifen sie die notwendigen Maßnahmen? Sind die von mir gemeldeten Probleme, als beschäftigte Person, die oft zufällig auf solche Probleme stößt, die einzigen, die diese Systeme betreffen?

Nützliche Ressourcen:

Unten habe ich eine Liste nützlicher Ressourcen für Journalisten oder Personen vorbereitet, die sich darüber informieren möchten, wie wir diese Probleme gemeldet und welche Maßnahmen ergriffen wurden.

RAMO-Situation + INSTANZEN IN RUMÄNIEN:

Situation Instanz - Probleme mit elektronischen Unterschriften:

Die Dokumente zur Validierung des Problems, die von Anwälten zur Anfechtung der Rechtmäßigkeit von elektronischen Vorladungen als nichtig (nicht den formalen Anforderungen entsprechen) verwendet werden können:

Antwort des ADR, CSM zu den Problemen:

Weitere Funktionen demnächst verfügbar.

Antwort des DNSC:

Antwort der ANSPDCP:

Die Antworten der beteiligten Institutionen

Unten haben wir die Antworten der Institutionen hinzugefügt, die über die Lücken informiert wurden, um den Zugang zu erleichtern.

Die Antwort der DNSC (Betreff elektronische Siegelprobleme) vom 04.09.2024

Die Antwort des DNSC bezüglich der Verwundbarkeit der elektronischen Siegel der Gerichte

Die Antwort der ANSPDCP vom 05.09.2024:

Die Antwort des Berufungsgerichts Constanța vom 06.09.2024:

Die Antwort des CA Craiova - Forward an die Staatsanwaltschaft, bestätigt am 07.09.2024:

Am Wochenende erhalten wir eine Benachrichtigung, dass unsere E-Mail vom Staatsanwalt in Craiova empfangen wurde, höchstwahrscheinlich nach einer Weiterleitung durch das CA Craiova.

Die Staatsanwaltschaft neben dem Gericht Craiova teilt uns mit, dass sie eine E-Mail von uns erhalten haben, obwohl wir keine E-Mail an sie gesendet haben, sondern an cacraiova@just.ro, die wahrscheinlich das Dokument weitergeleitet hat.
Die Staatsanwaltschaft neben dem Gericht Craiova teilt uns mit, dass sie eine E-Mail von uns erhalten haben, obwohl wir keine E-Mail an sie gesendet haben, sondern an [email protected], die wahrscheinlich das Dokument weitergeleitet hat.

Die Kompromittierung von Rejust.ro, bestätigt von der DNSC am 12.09.2024:

Die Kompromittierung von Rejust.ro, bestätigt und verfolgt von CSM:

Die Antwort des Obersten Rates der Magistratur, dessen Anwendungen aufgrund des Fehlens der Anonymisierung von Passwörtern in den Akten anfällig war.
Die Antwort des Obersten Rates der Magistratur, dessen Anwendungen aufgrund des Fehlens der Anonymisierung von Passwörtern in den Akten anfällig war.

Die Justizinspektion weigert sich, von Amts wegen tätig zu werden, und fordert Informationen gemäß der spezifischen Mustersstrategie an:

ICCJ, nachdem es bestätigt hat, dass es eine Antwort geben wird, zieht sich zurück und entscheidet, dass ADR verantwortlich ist.

Der Oberste Gerichtshof verweigert uns Informationen über die von den Gerichten ausgestellten elektronischen Siegel.
Der Oberste Gerichtshof verweigert uns Informationen über die von den Gerichten ausgestellten elektronischen Siegel.