Ir al contenido principal

IFEP - Violación de datos

Notificación pública sobre la violación de datos y el manejo incorrecto de la violación por parte de IFEP encontrada y reportada en privado el 28 de febrero de 2023

— Stefan-Lucian Deleanu

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023

BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.

RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.

Actualización #1: 06.01.2024 00:48

Detalles de la liberación

El 28 de febrero de 2023, IFEP, una plataforma construida en colaboración entre Intra Connect SRL y UNBR (La asociación nacional de abogados)

Con la siguiente información hecha pública:

  1. Nombre completoIdentificar a todos los abogados registrados en un colegio de abogados en Rumania.
  2. Código Numérico Personal (CNP)Un identificador único que contiene datos sensibles como la fecha de nacimiento, el sexo, el condado de nacimiento, etc.
  3. Correo electrónico de trabajo: Correos electrónicos presentados por la asociación de abogados a los abogados.
  4. Número de Legitimación: Número de serie para la legitimación, que podría haber sido directamente inferido a través de una herramienta en el sitio IFEP.

Dificultad de la vulnerabilidad - Baja

La vulnerabilidad afectó a un punto final accesible y Google-indexado, permitiendo a los atacantes descargar una lista de todos los abogados, sus bares correspondientes, sus direcciones de trabajo y PIN asociado (CNP).

El punto final:

  • Carecía de cualquier medida de autenticación o autorización
  • No debería haber sido accesible públicamente, ya que no se utiliza en la aplicación IFEP.
  • Fue visible públicamente e indexado por Google.

Pasos dados

Inmediatamente reportamos el hecho de que un endpoint privado fue indexado por google, así como el hecho de que permitía acceso no autorizado a información privada, al correo de helpdesk asociado a IFEP.

Verificamos se ha implementado una solución en un día desde la notificación de la vulnerabilidad.

No hemos recibido ninguna notificación de UNBR, IntraConnect S.R.L, o cualquier otra entidad responsable para detallar las medidas tomadas.

No hemos notado ninguna divulgación oficial de UNBR sobre la magnitud de la pérdida de datos.

La fecha de la vulnerabilidad que se encuentra coincide (pero no está relacionada) con la fecha de la propuesta de la Nube UNBR para abogados, y es posible que la vulnerabilidad no se haya divulgado para evitar que se intensifique un tema de discusión ya tenso dentro de la profesión.

❗
ADVERTENCIA:

Encontramos la vulnerabilidad cuando investigamos el procesador de datos, así como el administrador y propietario del sitio IFEP, en el contexto de la falta de transparencia que se discute en relación con la propuesta legislativa mencionada anteriormente.

Similar a nuestra versión anterior de la identificación, notificación y no notificación de la violación en relación con la base de datos de contadores CECCARHoy presentamos un caso similar pero más restringido, que afecta a todos los abogados rumanos.

A diferencia de la violación de CECCAR, ésta es más limitada en cuanto a robo de identidad, debido al alcance reducido de la información afectada.

Además, debido a la naturaleza de las profesiones legales, creemos que los datos como los números de identificación personal (CNPs) ya estarían disponibles para los clientes.

Aunque esta vulnerabilidad también es de bajo esfuerzo, ya que implica acceder a un punto final no autenticado, previamente disponible públicamente e indexado, requiere interacción manual por parte de un atacante para explotar esta vulnerabilidad.

La vulnerabilidad CECCAR previamente reportada llevó a la divulgación no autorizada de casi todos los datos presentes en un documento de identificación personal, con datos enviados a usuarios normales y maliciosos de la aplicación.

A diferencia de la violación de CECCAR, creemos que esta es significativamente menos probable que haya sido abusada en la naturaleza.

Período de Incumplimiento

Aunque no pudimos validar la magnitud de la vulnerabilidad, creemos que la brecha existía desde el desarrollo inicial de IFEP, que rastreamos al menos Abril de 2021.

Estimamos que la vulnerabilidad no fue encontrada, explotada en la naturaleza, ni divulgada por al menos 2 años.

Evaluación de riesgos y detalles de CVSS - 5.5/10

La vulnerabilidad fue evaluada en base a la criticidad, impacto y explotabilidad usando el CVSS scoring metric, con unPuntuación CVSS estimadade:

  • Puntuación Base de CVSS:7.5/10
  • Impacto Subscore:3.6/1o
  • Puntuación de explotabilidad: 3.9/10
  • Puntuación Temporal CVSS:7.2/10
  • Puntuación Ambiental CVSS: 5.5/10
  • Puntuación de impacto modificada: 1.8/10
  • Puntuación global de CVSS: 5.5/10

Informe RGPD

No hemos podido encontrar ningún informe o divulgación abierta para cumplir con los requisitos de divulgación de GDPR.

Si bien el Reglamento de Protección de Datos Generales proporciona una exclusión para la divulgación requerida en casos de bajo riesgo de infracción de los derechos personales, creemos que es transparente notificar a las partes involucradas sobre los riesgos y los pasos tomados, aún más en un dominio donde las personas se preocupan por la privacidad de sus datos.

INCORPO.RO - LANZAMIENTO OFICIAL

Creemos que todo el mundo debería ser consciente de la forma en que se procesan sus datos. Mientras que estamos a favor del procesamiento, y somos nosotros mismos una plataforma que utiliza análisis para ayudar a dar forma a nuestros productos, creemos que esto debe hacerse de manera responsable y con la debida divulgación.

Con ninguna acción tomada para notificar a las partes involucradas en casi un año, y la reciente divulgación de la fuga de datos IFEP, creemos que es razonable revelar a las partes involucradas los riesgos a los que estuvieron expuestos.