Passer au contenu principal

CECCAR - Violation de données

Fuite de données identifiée le 7 septembre 2023 et non signalée par CECCAR, avec plus de 50 000 individus dont les informations sont accessibles publiquement.

Stefan-Lucian Deleanu

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023

BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.

RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
https://www.linkedin.com/in/stefan-deleanu-94036417b/
https://www.facebook.com/stefatorus
MAIL: [email protected]

Mise à jour #1 : 06.01.2024 00:48

Détails de la version

On 7 septembre 2023, CECCAR, l'association comptable roumaine, a subi une violation majeure impliquant tous les comptables experts et agréés.

Avec les informations suivantes rendues publiques :

  1. Nom complet: Identifier les membres individuels.
  2. Code Numérique Personnel (CNP): Identifiant unique contenant des données sensibles telles que la date de naissance et le genre.
  3. Adresse: Adresses de bureau ou de domicile.
  4. Date et lieu de naissance: Inclut la localité spécifique, ajoutant à l'identification personnelle.
  5. Numéros de téléphone portable: Certains exemples incluent des numéros de téléphone fixe.
  6. Adresse postale: Différent de l'adresse résidentielle ou professionnelle.
  7. Données relatives à l'enregistrement auprès de CECCAR: Destiné à être exposé au public, mais toujours sensible dans ce contexte.
  8. Numéro d'identification personnelle (NIP): Un autre identifiant unique.
  9. Citoyenneté: Cela pourrait être sensible car cela pourrait indiquer l'ethnicité.
  10. Plus

Vulnérabilité Difficulté très faible

La vulnérabilité permettait d'accéder directement aux données d'identification privée via le navigateur.

Tentative de notification et réponse officielle

La DPO, ainsi que l'adresse de contact officielle de CECCAR, ont été immédiatement informées des détails, notamment de l'ampleur de la violation, des étapes à suivre pour reproduire le problème et des solutions potentielles.

Comportement commun partagé par l'Association du Barreau (UNBR) :

Nous avons envoyé une copie à l'agence nationale de protection des données pour nous assurer que la violation est correctement notifiée depuis previous reports related to a similar vulnerability leading to the leaking of all PINs (CNPs) of Lawyers registered at a bar went similarly unreported.

La version complète du rapport peut être consultée ici (Téléchargement par e-mail - PDF) :

Réponse de CECCAR DPO

Le DPO de CECCAR, à http://daikokuten.ro/, nous a informés que toutes les mesures nécessaires seront prises pour divulguer correctement la vulnérabilité après sa résolution et informe l'agence nationale de données.

Étapes effectuées

La vulnérabilité a été marquée comme résolue lors de notre validation le 10 septembre, l'équipe technique ayant supprimé les informations d'identification personnelle de l'extrémité.

Nous pensons que cela a complètement résolu la violation.

Breach Period

Nous n'avons pas pu valider l'ampleur de la vulnérabilité, mais nous pensons que la faille existait depuis au moins un certain temps. au moins 6 mois, ayant identifié le programme vulnérable à sont accessibles depuis 2021.

Évaluation des risques et détails CVSS

La vulnérabilité a été évaluée en fonction de sa criticité, de son impact et de sa possibilité d'exploitation en utilisant la métrique de notation CVSS. estimated CVSS Score de :

  • CVSS Base Score : 7.5/10
  • Sous-score d'impact : 3,6/10
  • Sous-score d'exploitatibilité : 3.9/10
  • CVSS Score temporel : 7.2/10
  • CVSS Environmental Score: 7.2/10
  • Sous-score d'impact modifié: 3,6/10
  • Note globale CVSS : 7.2/10

Réponse de l'ANSPDCP

L'agence nationale de protection des données n'a pas été informé de la violation par le DPO de CECCAR, conformément aux exigences de la loi.

Le 3 janvier 2024, l'ANSPDCP nous a informés qu'ils n'avaient pas pu trouver la vulnérabilité et ont demandé une preuve. Une preuve a été fournie, y compris toutes les données qui ont été divulguées par CECCAR.

INCORPO.RO - COMMUNQUÉ OFFICIEL

Nous pensons que chacun devrait être conscient de l'ampleur du traitement de ses données. Bien que nous soyons favorables au traitement des données et que nous soyons nous-mêmes une plateforme utilisant l'analyse pour aider à façonner nos produits, nous pensons que cela devrait être fait de manière responsable et avec une divulgation appropriée.

Le comportement de CECCAR, qui a décidé de cacher la vulnérabilité au lieu de les en informer, prouve leur activité malveillante et leur tentative de dissimuler leur incapacité à protéger ces informations.

Avec une violation similaire étant cachée sous le tapis par l'association du barreau en Roumanie, en relation avec une notification précédente, nous avons décidé de notifier les individus nous-mêmes pour empêcher la dissimulation de la violation de données.

Vérifiez si vous avez été touché par la violation de données CECCAR :

Nous avons envoyé un e-mail à toutes les personnes concernées avec un rapport complet sur les données violées.

Cependant, en raison du manque de confiance et de sensibilisation (nous sommes une entité privée) à la violation, nous avons décidé de créer un outil pour aider les individus à réaliser qu'ils ont été violés en toute sécurité.