Notificación pública sobre la violación de datos y el manejo incorrecto de la violación por parte de IFEP, descubierta y reportada privadamente el 28 de febrero de 2023
Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023
BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.
RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.
El 28 de febrero de 2023, IFEP, una plataforma construida en colaboración entre Intra Connect SRL and
and No se puede deshacer (La Asociación Nacional de Abogados)
Con la siguiente información hecha pública:
Nombre completo: Identificar a todos los abogados registrados en un colegio de abogados en Rumania.
Código Numérico Personal (CNP): Un identificador único que contiene datos sensibles como fecha de nacimiento, género, condado de nacimiento, etc.
Correo electrónico de trabajo: Correo electrónico presentado por el colegio de abogados a los abogados.
Número de legitimación: Número de serie para la legitimación, que podría haber sido inferido directamente a través de una herramienta en el sitio web de IFEP.
Dificultad de la vulnerabilidad - Baja
La vulnerabilidad afectó a un punto final de acceso público e indexado por Google, lo que permitió a los atacantes descargar una lista de todos los abogados, sus respectivas barras, direcciones laborales y el PIN asociado (CNP).
No tengo una cadena para traducir en este momento. ¿Puedo ayudarte de alguna
Carecía de cualquier medida de autenticación o autorización
No debería haber sido accesible públicamente, ya que no se utiliza en la solicitud de IFEP.
Era visible públicamente y indexado por Google Search.
Pasos dados
Inmediatamente reportamos el hecho de que un endpoint privado fue indexado por Google, así como el hecho de que permitía el acceso no autorizado a información privada, al correo de ayuda asociado con IFEP.
Hemos verificado Se ha implementado una solución en un día desde la notificación de la vulnerabilidad.
No hemos recibido ninguna notificación de UNBR, IntraConnect S.R.L. o cualquier otra entidad responsable que detalle los pasos tomados.
No hemos notado ninguna divulgación oficial de UNBR sobre la magnitud de la pérdida de datos.
La fecha en que se descubrió la vulnerabilidad coincide (pero no está relacionada) con la fecha de la propuesta de construir un Nube UNBR para abogados, y es posible que la vulnerabilidad no se haya revelado para evitar intensificar un tema de discusión ya tenso dentro de la profesión.
❗
REVELACIÓN:
No encontramos la vulnerabilidad al investigar el procesador de datos, así como el administrador y propietario del sitio web de IFEP, en el contexto de la falta de transparencia que se está discutiendo en relación con la propuesta legislativa mencionada anteriormente.
A diferencia de la violación de CECCAR, esta es más limitada en cuanto al robo de identidad, debido al alcance reducido de la información afectada.
Además, debido a la naturaleza de las profesiones legales, creemos que los datos como los números de identificación personal (CNPs) ya estarían disponibles para los clientes. Sin embargo, de manera consensuada, por lo que creemos que los riesgos son ligeramente más bajos.
Si bien esta vulnerabilidad también requiere poco esfuerzo, ya que implica acceder a un punto final no autenticado, previamente disponible de forma abierta e indexado públicamente, requiere interacción manual por parte de un atacante para explotar esta vulnerabilidad.
La vulnerabilidad de CECCAR previamente reportada condujo a la divulgación no autorizada de datos de casi todos los datos presentes en un documento de identificación personal, con datos enviados a usuarios normales y maliciosos de la aplicación.
A diferencia de la violación de CECCAR, creemos que es significativamente menos probable que se haya abusado de esta en el mundo real.
Breach Period
Mientras que no pudimos validar la magnitud de la vulnerabilidad, creemos que la falla ha existido desde el desarrollo inicial de IFEP, que hemos rastreado hasta al menos Abril 2021.
Estimamos que la vulnerabilidad no se encontró, se abusó en la naturaleza salvaje ni se reveló durante al menos 2 años.
Evaluación de riesgos y detalles CVSS - 5.5/10
La vulnerabilidad se evaluó en función de su criticidad, impacto y explotabilidad utilizando la métrica de puntuación CVSS, con unPuntuación CVSS estimadaNo se proporciona ninguna cadena para
Puntuación base CVSS:7.5/10
Subpuntuación de impacto:3.6/1o
Subpuntuación de explotabilidad: 3.9/10
Puntuación temporal de CVSS:7.2/10
Puntuación ambiental de CVSS: 5.5/10
Subpuntuación de impacto modificada: 1,8/10
Puntuación CVSS total: 5.5/10
Informe del RGPD
No hemos podido encontrar ningún informe abierto o divulgación para cumplir con los requisitos de divulgación de GDPR.
Si bien el Reglamento GDPR proporciona una exclusión para la divulgación requerida en casos de bajo riesgo de infracción de derechos personales, creemos que es transparente notificar a las partes involucradas sobre los riesgos y las medidas tomadas, especialmente en un dominio donde las personas se preocupan por la privacidad de sus datos.
INCORPO.RO - LANZAMIENTO OFICIAL
Creemos que todos deberían ser conscientes de la medida en que se procesan sus datos. Si bien estamos a favor del procesamiento y somos nosotros mismos una plataforma que utiliza análisis para ayudar a dar forma a nuestros productos, creemos que esto se debe hacer de manera responsable y con la debida divulgación.
Sin que se tome ninguna medida para notificar a las partes involucradas durante casi un año, y la reciente divulgación de la filtración de datos de IFEP, creemos que es razonable notificar a las partes involucradas los riesgos a los que estuvieron expuestos.
IFEP - Violación de datos
Notificación pública sobre la violación de datos y el manejo incorrecto de la violación por parte de IFEP, descubierta y reportada privadamente el 28 de febrero de 2023
— Stefan-Lucian Deleanu
IFEP - Violación de datos
Actualización #1: 06.01.2024 00:48
Detalles de la publicación
El 28 de febrero de 2023, IFEP, una plataforma construida en colaboración entre Intra Connect SRL and and No se puede deshacer (La Asociación Nacional de Abogados)
Con la siguiente información hecha pública:
Dificultad de la vulnerabilidad - Baja
La vulnerabilidad afectó a un punto final de acceso público e indexado por Google, lo que permitió a los atacantes descargar una lista de todos los abogados, sus respectivas barras, direcciones laborales y el PIN asociado (CNP).
No tengo una cadena para traducir en este momento. ¿Puedo ayudarte de alguna
Pasos dados
Inmediatamente reportamos el hecho de que un endpoint privado fue indexado por Google, así como el hecho de que permitía el acceso no autorizado a información privada, al correo de ayuda asociado con IFEP.
Hemos verificado Se ha implementado una solución en un día desde la notificación de la vulnerabilidad.
No hemos recibido ninguna notificación de UNBR, IntraConnect S.R.L. o cualquier otra entidad responsable que detalle los pasos tomados.
No hemos notado ninguna divulgación oficial de UNBR sobre la magnitud de la pérdida de datos.
La fecha en que se descubrió la vulnerabilidad coincide (pero no está relacionada) con la fecha de la propuesta de construir un Nube UNBR para abogados, y es posible que la vulnerabilidad no se haya revelado para evitar intensificar un tema de discusión ya tenso dentro de la profesión.
No encontramos la vulnerabilidad al investigar el procesador de datos, así como el administrador y propietario del sitio web de IFEP, en el contexto de la falta de transparencia que se está discutiendo en relación con la propuesta legislativa mencionada anteriormente.
Similar a nuestro lanzamiento anterior de la identificación, notificación y no notificación de la violación con respecto a la base de datos de contadores CECCAR, hoy presentamos un caso similar pero más restringido, que afecta a todos los abogados rumanos.
A diferencia de la violación de CECCAR, esta es más limitada en cuanto al robo de identidad, debido al alcance reducido de la información afectada.
Además, debido a la naturaleza de las profesiones legales, creemos que los datos como los números de identificación personal (CNPs) ya estarían disponibles para los clientes. Sin embargo, de manera consensuada, por lo que creemos que los riesgos son ligeramente más bajos.
Si bien esta vulnerabilidad también requiere poco esfuerzo, ya que implica acceder a un punto final no autenticado, previamente disponible de forma abierta e indexado públicamente, requiere interacción manual por parte de un atacante para explotar esta vulnerabilidad.
La vulnerabilidad de CECCAR previamente reportada condujo a la divulgación no autorizada de datos de casi todos los datos presentes en un documento de identificación personal, con datos enviados a usuarios normales y maliciosos de la aplicación.
A diferencia de la violación de CECCAR, creemos que es significativamente menos probable que se haya abusado de esta en el mundo real.
Breach Period
Mientras que no pudimos validar la magnitud de la vulnerabilidad, creemos que la falla ha existido desde el desarrollo inicial de IFEP, que hemos rastreado hasta al menos Abril 2021.
Estimamos que la vulnerabilidad no se encontró, se abusó en la naturaleza salvaje ni se reveló durante al menos 2 años.
Evaluación de riesgos y detalles CVSS - 5.5/10
La vulnerabilidad se evaluó en función de su criticidad, impacto y explotabilidad utilizando la métrica de puntuación CVSS, con unPuntuación CVSS estimadaNo se proporciona ninguna cadena para
Informe del RGPD
No hemos podido encontrar ningún informe abierto o divulgación para cumplir con los requisitos de divulgación de GDPR.
Si bien el Reglamento GDPR proporciona una exclusión para la divulgación requerida en casos de bajo riesgo de infracción de derechos personales, creemos que es transparente notificar a las partes involucradas sobre los riesgos y las medidas tomadas, especialmente en un dominio donde las personas se preocupan por la privacidad de sus datos.
INCORPO.RO - LANZAMIENTO OFICIAL
Creemos que todos deberían ser conscientes de la medida en que se procesan sus datos. Si bien estamos a favor del procesamiento y somos nosotros mismos una plataforma que utiliza análisis para ayudar a dar forma a nuestros productos, creemos que esto se debe hacer de manera responsable y con la debida divulgación.
Sin que se tome ninguna medida para notificar a las partes involucradas durante casi un año, y la reciente divulgación de la filtración de datos de IFEP, creemos que es razonable notificar a las partes involucradas los riesgos a los que estuvieron expuestos.
En esta página