Passer au contenu principal

Violation de données - Bureau national du registre du commerce (ONRC)

Détails sur la violation de données qui a affecté l'ONRC V2.0, impactant plus d'un million d'entreprises en Roumanie dans une moindre mesure, ainsi que toutes les personnes physiques en insolvabilité en Roumanie et les utilisateurs ayant payé des services via la plateforme dans les deux premiers jours suivant le lancement (~3000 professionnels)

Stefan-Lucian Deleanu

Publicație Oficială: ENTRYRISE S.R.L
Scop: Notificarea societății civile cu privire la existența informațiilor în spațiul public

Momente cheie:
- Identificare vulnerabilități: 26 Iulie 2024 - 27 Iulie 2024
- Tentativa eșuată de soluționare și re-lansare: 27.07.2024
- Data formulare critici tentativa: 21:38 PM, 27.07.2024
- Soluționare efectivă a problemelor: 30.07.2024

Detalii Breșa:
- [Momentan confidențiale]

Riscuri:
- Furt de identitate (Peste 3.000 persoane vulnerabile, toate persoanele care au efectuat plăți pe platforma până în 28.07.2024 + Toate persoanele fizice care au fost vreodată insolvențe)
- Risc de profilare automata pe informații cu privire la situația financiară a persoanelor care au fost vreodata insolvente in Romania.
- Divulgare informații nedestinate publicității cu privire la toate societățile comerciale, existența contracte notificate spre ONRC.
- Compromiterea confidențialității și integrității unui set restrâns de date referitoare la toate societatile din Romania nedestinate publicității largi, cu impact redus asupra secretului comercial și avantajului competitiv.
- Divulgarea tuturor părților în contractele de închiriere, comodat, vânzare notificate spre ONRC.
🦜
Ce document a été rédigé à l'origine en roumain.Les traductions dans d'autres langues sont effectuées automatiquement et ne sont pas garanties d'être équivalentes.
📆
Nous prévoyons de communiquer toutes les informations d'ici 04.08.2024En l'absence d'une demande de retrait reçue de la DNSC / ONRC, qui ont été informés de l'intention de communiquer publiquement sur les vulnérabilités.

Détails de l'incident vidéo :

La plateforme MyPortal de l'Office National du Registre du Commerce (ONRC), destinée à faciliter l'interaction numérique entre les entrepreneurs et l'institution, a révélé une série de vulnérabilités critiques qui ont exposé les données personnelles de milliers d'utilisateurs, ainsi que plus d'un million de sociétés.

Au-delà des problèmes techniques évidents, cet incident met en lumière des lacunes profondes dans la manière dont les institutions publiques en Roumanie abordent la cybersécurité et soulève de sérieuses questions concernant la responsabilité et la transparence des autorités dans la gestion de telles situations.

Un système construit sur des bases fragiles

Notre enquête a révélé que la plateforme MyPortal a été construite sur des bases fragiles, ignorant des principes élémentaires de sécurité et exposant les données sensibles des utilisateurs à des risques inacceptables.

Absence d'authentification et de contrôle d'accès aux notes de calcul:

Tout le monde peut accéder aux feuilles de calcul d'autres utilisateurs en modifiant simplement l'URL, sans avoir besoin de s'authentifier. Ces feuilles de calcul contiennent des données sensibles telles que des numéros de sécurité sociale et des adresses.

La divulgation des numéros CNP des personnes en faillite:

Le point de terminaison /bpi-published-persons/pf dezvăluie CNP-urile tuturor persoanelor fizice în stare de insolvență, alături de nume și prenume, la o simplă interogare cu o vocală.

REMARQUE : Les noms ont été divulgués car ils étaient destinés à être publics.

Divulgation excessive d'informations via la fonction "INFORMATION - ÉTAT DU DOSSIER":

L'utilisation de cette fonction révèle une large gamme d'informations potentiellement sensibles sur les entreprises et les personnes physiques autorisées, y compris des données de contact, des informations financières et des détails sur l'infrastructure back-end.

Le problème persiste à travers plusieurs points de terminaison et divulgue :

    1. Les coordonnées des représentants des sociétés, communiquées par des demandes à l'ONRC
    2. Informations sur les sociétés ou les personnes physiques autorisées, y compris les activités de la société, le nombre de parts sociales, le registraire concerné, la durée de la société, le statut d'insolvabilité, etc.
    3. Numéro de téléphone de contact, numéro de fax, éventuel e-mail déclaré à l'ONRC,
    4. Tous les points de travail déclarés au ONRC,
    5. Toutes les informations concernant le loyer de l'espace, l'entrée en vigueur et l'expiration (durée) de ceux-ci, fournisseur de location (y compris la personne physique),
    6. détails de l'infrastructure back-office, détails des documents soumis par les personnes, détails des registrateurs impliqués (clone BERC), détails des actes et leur degré de classification (?)
0:00
/0:58

Données divulguées - Dans ce cas, les données de notre propre société, donc une affichage légal, ne concernant que nos propres données.

Obtention de documents sans paiement en raison de l'absence de validation:

Le système permet la génération de documents tels que des certificats et des bulletins de procédures d'insolvabilité sans vérifier le paiement, permettant l'accès avant le paiement effectif des services.

0:00
/0:29

Obtention de l'historique de la société / InfoCert même sans paiement - Vulnérabilité myportal.ONRC.ro

Acceptation de documents vides ou non pertinents:

La plateforme accepte le téléchargement de documents PDF vides ou non pertinents, signés électroniquement, à la place de ceux requis, les approuvant automatiquement sans vérifications adéquates. La seule validation se faisait sur le nom du fichier téléchargé, qui devait être équivalent à celui du document généré.

Ces vulnérabilités, démontrées à maintes reprises par les captures d'écran, les fichiers de démonstration et les enregistrements vidéo que nous avons fournis aux autorités, sont le symptôme d'un problème systémique dans le développement et la gestion des plateformes numériques gouvernementales.

0:00
/0:35

Absence de validation pour le document soumis dans la demande. Une autre réservation de nom a été soumise au lieu de la demande.

Risques et implications : Au-delà des aspects techniques

Au-delà des aspects purement techniques, les vulnérabilités de la plateforme MyPortal ont des implications profondes pour la sécurité et la confiance dans les services numériques offerts par l'État.

L'exposition des données personnelles facilite des crimes tels que le vol d'identité, la fraude et l'utilisation abusive des informations à des fins illicites.

De plus, de tels incidents érodent la confiance des citoyens et du milieu des affaires dans la capacité des institutions publiques à protéger leurs données et à fournir des services numériques sécurisés.

Enfin, un investissement de 5.500.000 RON pour la mise en œuvre de tests automatisés et l'audit de sécurité de la plateforme ne semble pas avoir abouti à un service effectif :

Le programme des marchés publics pour la mise en œuvre du projet ONRC v2.0
Contrats de niveau de service pour la plateforme ONRC v2.0 - Test / audit

Réponse des autorités : Rapide et efficace

Bien que nous ayons signalé rapidement les vulnérabilités découvertes à l'ONRC, à la Direction Nationale de la Sécurité Cybernétique (DNSC) et à l'Autorité Nationale de Protection des Données Personnelles (ANSPDCP), la réponse des autorités a été rapide, mais initialement inefficace.

Malgré la fermeture temporaire de la plateforme pour des réparations pendant quelques heures dans l'espoir de résoudre les problèmes, les problèmes de sécurité ont persisté, et il a fallu une vidéo dans laquelle j'ai sévèrement critiqué la réponse pour susciter une réaction sérieuse :

Par exemple, par la suite, après la première tentative de résolution, l'ONRC a simplement supprimé le bouton bleu de téléchargement, sans bloquer l'endpoint API qui télécharge effectivement le fichier :

Il est possible de modifier le numéro de la note de calcul dans l'API, et la vulnérabilité persiste toujours.

Le clip vidéo a été réalisé dans le but de tirer la sonnette d'alarme et de souligner la nécessité de mesures décisives et transparentes de la part des autorités.

La comparaison de la vitesse de réponse dans d'autres CVD rapportées par nous, l'ONRC et le DNSC a été beaucoup plus rapide, ce que nous considérons comme étant causé par le rapport à plusieurs institutions clés, qui ont ainsi généré un signal fort concernant la gravité des problèmes.

Le délai de résolution des vulnérabilités était d'environ 2 à 3 jours.

Un appel à l'action et à la responsabilité

Il est temps que les autorités roumaines prennent la cybersécurité avec le sérieux qu'elle mérite. Au-delà des aspects techniques, un changement fondamental de mentalité et une assurance de responsabilité à tous les niveaux sont nécessaires.

Les institutions publiques doivent accorder la priorité absolue à la sécurité des données personnelles et allouer les ressources nécessaires au développement et à la maintenance de plateformes numériques robustes et sécurisées.

Il est également essentiel d'avoir une communication transparente et proactive avec le public en cas d'incidents de sécurité, afin de maintenir la confiance des citoyens dans les services numériques gouvernementaux.

Au-delà des aspects techniques, une réforme législative est également nécessaire pour garantir un cadre clair de responsabilités et de sanctions pour les institutions qui échouent à protéger les données des citoyens.

Ce n'est qu'à travers des mesures fermes et des conséquences réelles pour ceux qui négligent la cybersécurité que nous pouvons espérer un changement véritable d'approche. Si le fonctionnaire public fautif n'est pas sanctionné, l'institution publique sera la seule à en pâtir, et par conséquent, le citoyen devra tolérer des impôts plus élevés, le problème ne sera pas résolu. Il est nécessaire de mettre en œuvre des moyens d'analyse post-factum des cas et d'appliquer des sanctions / mesures appropriées pour prévenir la répétition des mêmes erreurs.

Conclusions : Les leçons à tirer

Les vulnérabilités découvertes sur la plateforme MyPortal de l'ONRC sont un symptôme d'un problème plus vaste : la négligence de la cybersécurité dans les services numériques gouvernementaux.

Nous espérons que cet incident servira d'appel à la vigilance pour les autorités roumaines, soulignant la nécessité d'une approche proactive, responsable et transparente en matière de sécurité informatique.

Il est nécessaire d'opérer un changement de paradigme dans la manière dont les institutions publiques traitent la sécurité des données des citoyens. Ce n'est qu'en priorisant la cybersécurité, en allouant correctement les ressources, en garantissant la responsabilité et en communiquant de manière transparente avec le public que nous pourrons espérer restaurer la confiance dans les services numériques gouvernementaux et créer un espace en ligne sûr pour tous les citoyens roumains.

En tant qu'entreprise, nous avons le devoir de tenir responsables les institutions qui nous représentent et de veiller à ce que nos droits à l'ère numérique soient protégés avec diligence.

Nous espérons qu'en exposant en détail ces vulnérabilités et en soulignant leurs implications, nous encouragerons un dialogue constructif et inciterons à des actions concrètes pour améliorer la cybersécurité en Roumanie.

Documents joints :

Notification du problème

Détails de l'achat public de la plateforme (30.000.000 EUR +)

Ces matériaux constituent la base de notre démarche et nous espérons qu'ils serviront de point de départ pour une discussion honnête et productive sur la cybersécurité en Roumanie. Il est temps d'agir, d'assurer la transparence et la responsabilité - et cela commence par la reconnaissance des problèmes et un engagement ferme à les résoudre.

Détails des marchés publics :

Achats de services de test automatisé + test de sécurité
Audits techniques d'acquisition concernant la mise en œuvre
Mise en œuvre d'une plateforme informatique de traitement des données au niveau de l'ONRC

Conseils & Recommandations, Avis :

Avez-vous rencontré des problèmes avec l'ONRC avant le lancement de la plateforme ?

Je pense que oui. Selon les termes et conditions que j'ai obtenus directement du code source de la plateforme et reconstruits en LaTeX (texte original, reformatté par ClaudeAI). L'ensemble du document reconstitué se trouve dans la section des documents joints.

Din Conditions générales d'accès en ligne aux services de la BPI, extrait des données du code source (je n'ai pas vu s'il était présent et actif sur la plateforme, mais cela prouve que les problèmes de la plateforme étaient connus)

L'ONRC ne répond pas aux violations de données
ONRC ne répond pas si votre ordinateur est infecté par un virus.

De plus, l'ONRC a eu des contrats avec deux entités de test, le second pour un montant inférieur, 50 000 RON, qualifié d'« audit technique », d'une entreprise spécialisée dans le pentesting. Est-ce que l'ONRC est conscient que la première prestation a été mal réalisée ?

Comment garder vos données en sécurité ?

Dès que vos données deviennent accessibles au public, le nombre d'attaques de phishing / spear phishing que vous recevez augmente. Par conséquent, suivez les étapes suivantes pour identifier si quelque chose est une tentative de phishing :

Indemnités et Sanction de l'État :

Les données personnelles sont protégées à la fois par le RGPD et par la législation nationale. Étant donné qu'il est possible que vos données personnelles aient été accessibles ou même consultées (dans certains cas) par des tiers en raison de la plateforme ONRC, Je vous recommande de consulter un avocat, car à mon avis (n'étant pas avocat), la responsabilité civile délictuelle peut être engagée pour faute :

Art. 82 RGPD – Droit à réparation et responsabilité - Règlement général sur la protection des données (RGPD)
Toute personne ayant subi un dommage matériel ou immatériel en raison d'une violation du présent Règlement a le droit de recevoir une compensation de la part du responsable du traitement ou du sous-traitant pour le dommage subi. 1Tout responsable impliqué dans le traitement est responsable du dommage causé par un traitement qui enfreint ce Règlement. 2Un sous-traitant doit … Continuer la lecture de l'Art. 82 RGPD – Droit à compensation et responsabilité
Art. 1349 Nouveau code civil Responsabilité délictuelle Dispositions générales Responsabilité civile
Art. 1349 Responsabilité délictuelle Dispositions générales Responsabilité civile Nouveau Code civil 2011 Loi 287 2009

Mises à jour :

Mise à jour n°1 : Une réponse étonnamment positive de l'ONRC

Lorsque j'ai soumis la plainte à l'ONRC, je ne m'attendais pas à grand-chose. Mes expériences antérieures avec les institutions publiques m'ont rendu prudent dans mes attentes. Cependant, cette fois-ci, j'ai été agréablement surpris.

ONRC a répondu rapidement et, à ma grande surprise, de manière très professionnelle. Ils ont directement abordé les problèmes signalés, confirmant qu'ils avaient effectué des vérifications et pris des mesures. De plus, ils ont mentionné qu'ils surveillent en continu le portail et sont ouverts aux retours.

Ce qui m'a le plus impressionné, c'est le ton de la réponse - respectueux et très décent. Il est rare de voir une institution publique remercier pour des retours qui soulèvent des problèmes graves et montrer une réelle préoccupation pour l'amélioration des services.

Bien qu'une seule bonne réponse ne résolve pas tous les problèmes du système, c'est un signe encourageant. Cela montre qu'il existe un potentiel pour une meilleure communication entre les institutions et les citoyens. C'est un début prometteur et j'espère voir davantage d'exemples de ce type à l'avenir.

Mise à jour n°2 - Réponse du Ministre de la Recherche, de l'Innovation et de la Numérisation

Une autre réponse encourageante est venue, par la suite, de la MCID, qui a commencé à s'impliquer pour résoudre les problèmes de la plateforme MyPortal.ONRC.ro.


Fichiers téléchargeables (communiqué de presse) :