Ir al contenido principal

CECCAR - Violación de datos

Violación de datos identificada el 7 de septiembre de 2023, y no reportada por CECCAR, con más de 50.000 personas que tienen su información accesible públicamente.

— Stefan-Lucian Deleanu

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023

BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.

RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
https://www.linkedin.com/in/stefan-deleanu-94036417b/
https://www.facebook.com/stefatorus
MAIL: [email protected]

Actualización #1: 06.01.2024 00:48

Detalles de la liberación

En 7 de septiembre de 2023, CECCAR, la asociación rumana de contabilidad, ha sufrido una gran brecha que involucra a todos los contadores expertos y contadores autorizados.

Con la siguiente información hecha pública:

  1. Nombre completo: Identificar a los miembros individuales.
  2. Código Numérico Personal (CNP): Identificador único que contiene datos sensibles como la fecha de nacimiento y el género.
  3. Dirección: Ya sea la oficina o la casa.
  4. Fecha y lugar de nacimiento: Incluyendo localización específica, añadiendo a la identificación personal.
  5. Números de teléfono móvilAlgunas instancias incluyen números de línea fija.
  6. Dirección de correoDiferente de la dirección residencial o de oficina.
  7. Datos relacionados con el registro en CECCAR: Destinado a la exposición pública, pero aún sensible en este contexto.
  8. Número de Identificación Personal (CIP): Otro identificador único.
  9. CiudadaníaEsto podría ser sensible, ya que podría indicar la etnia.
  10. Más

Dificultad de la vulnerabilidad muy baja

La vulnerabilidad permitía el acceso a datos de identificación privados directamente a través del navegador.

Intento de notificación y respuesta oficial

El DPO, así como la dirección de contacto oficial de CECCAR, fueron notificados de inmediato con detalles que incluían la magnitud de la violación, los pasos para reproducir el problema y las posibles soluciones.

Comportamiento común compartido por la Asociación de Abogados (UNBR):

Hemos enviado un correo con copia oculta a la agencia nacional de protección de datos para asegurarnos de que la brecha sea notificada correctamente ya que Reportes previos relacionados con una vulnerabilidad similar que llevó a la fuga de todos los PINs (CNPs) de los abogados registrados en un colegio de abogados, también fueron ignorados.

El informe completo se puede ver aquí (Descargar PDF):

Respuesta del CECCAR DPO

El DPO de CECCAR, de http://daikokuten.ro/, nos notificó que se tomarán todas las medidas necesarias para revelar adecuadamente la vulnerabilidad después de su resolución y informar a la agencia nacional de datos.

Pasos dados

La vulnerabilidad ha sido marcada como resuelta en nuestra validación el 10 de septiembre, con el equipo técnico eliminando la información personal identificable del punto final.

Creemos que esto ha resuelto completamente la brecha.

Período de Incumplimiento

Mientras que no hemos sido capaces de validar la magnitud de la vulnerabilidad, creemos que la brecha existió mínimo 6 meses, habiendo identificado el programa vulnerable a han sido accesibles desde 2021.

Evaluación de riesgos y detalles de CVSS

La vulnerabilidad fue evaluada en función de la criticidad, el impacto y la explotabilidad utilizando la métrica de puntuación CVSS, con un Puntuación CVSS estimada de:

  • Puntuación Base de CVSS: 7.5/10
  • Impacto Subscore: 3.6/1o
  • Puntuación de explotabilidad: 3.9/10
  • CVSS Temporal Score: 7.2/10
  • Puntuación Ambiental CVSS: 7.2/10
  • Puntuación de Impacto Modificado: 3.6/10
  • Puntuación global de CVSS: 7.2/10

Respuesta de ANSPDCP

La agencia nacional de protección de datos. no se le ha notificado la violación por el DPO de CECCAR, de acuerdo con los requisitos de la ley.

El 3 de enero de 2024, ANSPDCP nos notificó que no pudieron encontrar la vulnerabilidad y solicitaron pruebas. Se proporcionaron pruebas, incluidos todos los datos que fueron filtrados por CECCAR.

INCORPO.RO - LANZAMIENTO OFICIAL

Creemos que todo el mundo debería ser consciente de la forma en que se procesan sus datos. Mientras que estamos a favor del procesamiento, y somos nosotros mismos una plataforma que utiliza análisis para ayudar a dar forma a nuestros productos, creemos que esto debe hacerse de manera responsable y con la debida divulgación.

El comportamiento de CECCAR, que decidió ocultar la vulnerabilidad en lugar de notificarla, es una prueba de actividad maliciosa por su parte, y el intento de ocultar que no pueden proteger esta información.

Con una violación similar que se oculta bajo la alfombra por la asociación de abogados en Rumania, en relación con una notificación previa, hemos decidido notificar a los individuos nosotros mismos para evitar ocultar la violación de datos.

Compruebe si su cuenta fue comprometida en la violación de datos de CECCAR:

Hemos enviado un correo electrónico a todas las personas afectadas con un informe completo de la extensión de los datos comprometidos.

Sin embargo, debido a la falta de confianza y conciencia (somos una entidad privada) en la brecha, decidimos hacer una herramienta para ayudar a las personas a darse cuenta de que han sido violadas de manera segura.