Se identificó una violación de datos el 7 de septiembre de 2023, que no fue reportada por CECCAR, y que expuso la información de más de 50.000 personas al acceso público.
Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023
BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.
RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
Encendido 7 de septiembre de 2023. CECCAR, la asociación rumana de contabilidad, ha sufrido una importante violación que involucra a todos los contadores expertos y contadores autorizados.
Con la siguiente información hecha pública:
Nombre completo: Identificar a los miembros individuales.
Código Numérico Personal (CNP): Identificador único que contiene datos sensibles como fecha de nacimiento y género.
Dirección: Ya sea direcciones de oficina o de casa.
Fecha y lugar de nacimiento: Incluyendo localidad específica, añadiendo a identificación personal.
Números de teléfono móvil: Algunos ejemplos incluyen números de teléfono fijo.
Dirección Postal: Distinto de la dirección residencial u oficina.
Datos relacionados con el Registro en CECCAR: Pretende ser exhibido públicamente, pero sigue siendo sensible en este contexto.
Número de Identificación Personal (CIP): Otro identificador único.
Ciudadanía: Esto podría ser delicado, ya que podría indicar la etnia.
Más
Vulnerabilidad Dificultad muy baja
La vulnerabilidad permitía acceder directamente a los datos de identificación privada a través del navegador.
Intento de notificación y respuesta oficial
El DPO, así como la dirección de contacto oficial de CECCAR, fueron notificados de inmediato con detalles que incluyen el alcance de la violación, los pasos para reproducir el problema y las posibles soluciones.
Comportamiento común compartido por la Asociación de Abogados (UNBR):
Hemos BCC-ed la agencia nacional de protección de datos para garantizar que la violación se notifique correctamente, ya que previous reports related to a similar vulnerability leading to the leaking of all PINs (CNPs) of Lawyers registered at a bar went similarly unreported.
La extensión completa del informe se puede ver aquí (Descarga de correo electrónico - PDF):
La vulnerabilidad se marcó como resuelta en nuestra validación el 10 de septiembre, con el equipo técnico eliminando la información de identificación personal del punto final.
Creemos que esto ha resuelto por completo la violación.
Breach Period
Mientras no pudimos validar la magnitud de la vulnerabilidad, creemos que la falla existió por Por lo menos 6 meses, habiendo identificado el programa vulnerable para han sido accesibles desde 2021.
Evaluación de riesgos y detalles CVSS
La vulnerabilidad se evaluó en función de su criticidad, impacto y explotabilidad utilizando la métrica de puntuación CVSS. Puntuación CVSS estimada de:
Puntuación base CVSS: 7.5/10
Subpuntuación de impacto: 3.6/1o
Subpuntuación de explotabilidad: 3.9/10
Puntuación temporal de CVSS: 7.2/10
Puntuación ambiental de CVSS: 7.2/10
Subpuntuación de impacto modificada: 3.6/10
Puntuación CVSS total: 7.2/10
Respuesta de ANSPDCP
La agencia nacional de protección de datos no se ha notificado de la infracción por el DPO de CECCAR, de conformidad con los requisitos de la ley.
El 3 de enero de 2024, la ANSPDCP nos notificó que no pudieron encontrar la vulnerabilidad y solicitaron pruebas. Se proporcionaron pruebas, incluidos todos los datos que fueron filtrados por CECCAR.
Creemos que todos deberían ser conscientes de la medida en que se procesan sus datos. Si bien estamos a favor del procesamiento y somos nosotros mismos una plataforma que utiliza análisis para ayudar a dar forma a nuestros productos, creemos que esto se debe hacer de manera responsable y con la debida divulgación.
El comportamiento de CECCAR, que decidió ocultar la vulnerabilidad en lugar de notificarlos, es prueba de actividad maliciosa por su parte, y el intento de ocultar la incapacidad de proteger esta información.
Con una violación similar siendo ocultada bajo la alfombra por la asociación de abogados en Rumania, en relación con una notificación anterior, hemos decidido notificar a las personas nosotros mismos para evitar ocultar la violación de datos.
Compruebe si ha sido violado en la violación de datos de CECCAR:
Hemos enviado un correo electrónico a todas las personas afectadas con un informe completo de la información violada.
Sin embargo, debido a la falta de confianza y conciencia (somos una entidad privada) en la violación, decidimos crear una herramienta para ayudar a las personas a darse cuenta de que han sido violadas de manera segura.
CECCAR - Violación de datos
Se identificó una violación de datos el 7 de septiembre de 2023, que no fue reportada por CECCAR, y que expuso la información de más de 50.000 personas al acceso público.
— Stefan-Lucian Deleanu
CECCAR - Violación de datos
Actualización #1: 06.01.2024 00:48
Detalles de la publicación
Encendido 7 de septiembre de 2023. CECCAR, la asociación rumana de contabilidad, ha sufrido una importante violación que involucra a todos los contadores expertos y contadores autorizados.
Con la siguiente información hecha pública:
Vulnerabilidad Dificultad muy baja
La vulnerabilidad permitía acceder directamente a los datos de identificación privada a través del navegador.
Intento de notificación y respuesta oficial
El DPO, así como la dirección de contacto oficial de CECCAR, fueron notificados de inmediato con detalles que incluyen el alcance de la violación, los pasos para reproducir el problema y las posibles soluciones.
Comportamiento común compartido por la Asociación de Abogados (UNBR):
Hemos BCC-ed la agencia nacional de protección de datos para garantizar que la violación se notifique correctamente, ya que previous reports related to a similar vulnerability leading to the leaking of all PINs (CNPs) of Lawyers registered at a bar went similarly unreported.
La extensión completa del informe se puede ver aquí (Descarga de correo electrónico - PDF):
Respuesta de CECCAR DPO
El DPO de CECCAR, desde http://daikokuten.ro/, nos notificó que se tomarán todas las medidas necesarias para divulgar adecuadamente la vulnerabilidad después de su resolución y informar a la agencia nacional de datos.
Pasos dados
La vulnerabilidad se marcó como resuelta en nuestra validación el 10 de septiembre, con el equipo técnico eliminando la información de identificación personal del punto final.
Creemos que esto ha resuelto por completo la violación.
Breach Period
Mientras no pudimos validar la magnitud de la vulnerabilidad, creemos que la falla existió por Por lo menos 6 meses, habiendo identificado el programa vulnerable para han sido accesibles desde 2021.
Evaluación de riesgos y detalles CVSS
La vulnerabilidad se evaluó en función de su criticidad, impacto y explotabilidad utilizando la métrica de puntuación CVSS. Puntuación CVSS estimada de:
Respuesta de ANSPDCP
La agencia nacional de protección de datos no se ha notificado de la infracción por el DPO de CECCAR, de conformidad con los requisitos de la ley.
El 3 de enero de 2024, la ANSPDCP nos notificó que no pudieron encontrar la vulnerabilidad y solicitaron pruebas. Se proporcionaron pruebas, incluidos todos los datos que fueron filtrados por CECCAR.
INCORPO.RO - LANZAMIENTO OFICIAL
Creemos que todos deberían ser conscientes de la medida en que se procesan sus datos. Si bien estamos a favor del procesamiento y somos nosotros mismos una plataforma que utiliza análisis para ayudar a dar forma a nuestros productos, creemos que esto se debe hacer de manera responsable y con la debida divulgación.
El comportamiento de CECCAR, que decidió ocultar la vulnerabilidad en lugar de notificarlos, es prueba de actividad maliciosa por su parte, y el intento de ocultar la incapacidad de proteger esta información.
Con una violación similar siendo ocultada bajo la alfombra por la asociación de abogados en Rumania, en relación con una notificación anterior, hemos decidido notificar a las personas nosotros mismos para evitar ocultar la violación de datos.
Compruebe si ha sido violado en la violación de datos de CECCAR:
Hemos enviado un correo electrónico a todas las personas afectadas con un informe completo de la información violada.
Sin embargo, debido a la falta de confianza y conciencia (somos una entidad privada) en la violación, decidimos crear una herramienta para ayudar a las personas a darse cuenta de que han sido violadas de manera segura.
En esta página