Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023
BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.
RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.
Le 28 février 2023, IFEP, une plateforme construite en collaboration entre Intra Connect SRL and
and UNBR (L'association nationale du barreau)
Avec les informations suivantes rendues publiques :
Nom complet: Identifier tous les avocats inscrits à un bar en Roumanie.
Code Numérique Personnel (CNP): Un identifiant unique contenant des données sensibles telles que la date de naissance, le genre, le département de naissance, etc.
Work Email:
Adresse e-mail de travail : Emails soumis par l'association du barreau aux avocats.
Numéro de justification : Numéro de série pour la légitimation, qui aurait pu être directement déduit via un outil sur le site de l'IFEP.
Vulnérabilité Difficulté - Faible
La vulnérabilité affectait un point de terminaison librement accessible et indexé par Google, permettant aux attaquants de télécharger une liste de tous les avocats, leurs bars correspondants, leurs adresses professionnelles et leurs codes PIN associés (CNP).
L'endpoint :
Manquait de mesures d'authentification ou d'autorisation
Cette information ne devrait pas être accessible publiquement car elle n'est pas utilisée dans la demande IFEP.
Était visible publiquement et indexé par Google Recherche.
Étapes effectuées
Nous avons immédiatement signalé le fait qu'un point de terminaison privé était indexé par Google, ainsi que le fait qu'il permettait un accès non autorisé à des informations privées, à l'adresse e-mail de support associée à IFEP.
Nous avons vérifié Une solution a été mise en place en une journée depuis la notification de la vulnérabilité..
Nous n'avons reçu aucune notification de la part de l'UNBR, d'IntraConnect S.R.L. ou de toute autre entité responsable détaillant les mesures prises.
Nous n'avons pas remarqué de divulgation officielle de la part de l'UNBR concernant l'ampleur de la perte de données.
La date à laquelle la vulnérabilité a été découverte coïncide (mais n'est pas liée) avec la date de la proposition de construction d'un UNBR cloud pour les avocats, et il est possible que la vulnérabilité n'ait pas été divulguée pour éviter d'envenimer une discussion déjà tendue au sein de la profession.
❗
RÉVÉLATION:
Nous avons découvert la vulnérabilité lors de la recherche du processeur de données ainsi que du gestionnaire et du propriétaire du site IFEP, dans le contexte du manque de transparence discuté concernant la proposition législative mentionnée ci-dessus.
Contrairement à la violation de CECCAR, celle-ci est plus limitée en ce qui concerne le vol d'identité, en raison de la portée réduite des informations touchées.
De plus, en raison de la nature des professions juridiques, nous pensons que des données telles que les numéros d'identification personnelle (CNP) seraient déjà à la disposition des clients. Cependant, par consentement mutuel, nous pensons donc que les risques sont légèrement moindres.
Cette vulnérabilité est également de faible intensité car elle implique d'accéder à un point de terminaison non authentifié, indexé publiquement et précédemment accessible en toute ouverture. Cependant, elle nécessite une interaction manuelle de la part de l'attaquant pour exploiter cette vulnérabilité.
La vulnérabilité CECCAR précédemment signalée a entraîné la divulgation non autorisée de presque toutes les données présentes sur un document d'identification personnel, avec des données envoyées à la fois à des utilisateurs normaux et malveillants de l'application.
Contrairement à la violation de CECCAR, nous pensons qu'il est beaucoup moins probable que celle-ci ait été exploitée dans la nature.
Breach Period
Nous n'avons pas pu valider l'ampleur de la vulnérabilité, mais nous pensons que la faille existait depuis le développement initial de l'IFEP, que nous avons retracée à au moins April 2021.
Nous estimons que la vulnérabilité n'a pas été découverte, exploitée dans la nature, ni divulguée depuis au moins 2 ans.
Évaluation des risques et détails CVSS - 5,5/10
La vulnérabilité a été évaluée en fonction de sa criticité, de son impact et de sa possibilité d'exploitation en utilisant la métrique de notation CVSS, avec unestimated CVSS Scorede:
CVSS Base Score :7.5/10
Sous-score d'impact :3,6/10
Sous-score d'exploitatibilité : 3.9/10
CVSS Score temporel :7.2/10
CVSS Environmental Score: 5,5/10
Sous-score d'impact modifié: 1,8/10
Note globale CVSS : 5.5/10
Rapport GDPR
Nous n'avons pas été en mesure de trouver de rapport ouvert ou de divulgation pour se conformer aux exigences de divulgation du RGPD.
La réglementation RGPD prévoit une exclusion de la divulgation obligatoire dans les cas de faible risque de violation des droits personnels, mais nous pensons qu'il est transparent d'informer les parties concernées des risques et des mesures prises, d'autant plus dans un domaine où les gens se soucient de la confidentialité de leurs données.
INCORPO.RO - COMMUNQUÉ OFFICIEL
Nous pensons que chacun devrait être conscient de l'ampleur du traitement de ses données. Bien que nous soyons favorables au traitement des données et que nous soyons nous-mêmes une plateforme utilisant l'analyse pour aider à façonner nos produits, nous pensons que cela devrait être fait de manière responsable et avec une divulgation appropriée.
Avec aucune action n'étant prise pour notifier les parties impliquées pendant presque un an, et la récente divulgation de la fuite de données de l'IFEP, nous pensons qu'il est raisonnable de divulguer aux parties impliquées les risques auxquels elles ont été exposées.
IFEP - Violation de données
Avis public concernant une violation de données et une mauvaise gestion de la violation par IFEP, découverte et signalée privément le 28 février 2023
— Stefan-Lucian Deleanu
IFEP - Violation de données
Mise à jour #1 : 06.01.2024 00:48
Détails de la version
Le 28 février 2023, IFEP, une plateforme construite en collaboration entre Intra Connect SRL and and UNBR (L'association nationale du barreau)
Avec les informations suivantes rendues publiques :
Vulnérabilité Difficulté - Faible
La vulnérabilité affectait un point de terminaison librement accessible et indexé par Google, permettant aux attaquants de télécharger une liste de tous les avocats, leurs bars correspondants, leurs adresses professionnelles et leurs codes PIN associés (CNP).
L'endpoint :
Étapes effectuées
Nous avons immédiatement signalé le fait qu'un point de terminaison privé était indexé par Google, ainsi que le fait qu'il permettait un accès non autorisé à des informations privées, à l'adresse e-mail de support associée à IFEP.
Nous avons vérifié Une solution a été mise en place en une journée depuis la notification de la vulnérabilité..
Nous n'avons reçu aucune notification de la part de l'UNBR, d'IntraConnect S.R.L. ou de toute autre entité responsable détaillant les mesures prises.
Nous n'avons pas remarqué de divulgation officielle de la part de l'UNBR concernant l'ampleur de la perte de données.
La date à laquelle la vulnérabilité a été découverte coïncide (mais n'est pas liée) avec la date de la proposition de construction d'un UNBR cloud pour les avocats, et il est possible que la vulnérabilité n'ait pas été divulguée pour éviter d'envenimer une discussion déjà tendue au sein de la profession.
Nous avons découvert la vulnérabilité lors de la recherche du processeur de données ainsi que du gestionnaire et du propriétaire du site IFEP, dans le contexte du manque de transparence discuté concernant la proposition législative mentionnée ci-dessus.
Similar to our previous release of the identification, déclaration et non-déclaration de la violation concernant la base de données des comptables CECCAR, aujourd'hui nous présentons un cas similaire mais plus restreint, affectant tous les avocats roumains.
Contrairement à la violation de CECCAR, celle-ci est plus limitée en ce qui concerne le vol d'identité, en raison de la portée réduite des informations touchées.
De plus, en raison de la nature des professions juridiques, nous pensons que des données telles que les numéros d'identification personnelle (CNP) seraient déjà à la disposition des clients. Cependant, par consentement mutuel, nous pensons donc que les risques sont légèrement moindres.
Cette vulnérabilité est également de faible intensité car elle implique d'accéder à un point de terminaison non authentifié, indexé publiquement et précédemment accessible en toute ouverture. Cependant, elle nécessite une interaction manuelle de la part de l'attaquant pour exploiter cette vulnérabilité.
La vulnérabilité CECCAR précédemment signalée a entraîné la divulgation non autorisée de presque toutes les données présentes sur un document d'identification personnel, avec des données envoyées à la fois à des utilisateurs normaux et malveillants de l'application.
Contrairement à la violation de CECCAR, nous pensons qu'il est beaucoup moins probable que celle-ci ait été exploitée dans la nature.
Breach Period
Nous n'avons pas pu valider l'ampleur de la vulnérabilité, mais nous pensons que la faille existait depuis le développement initial de l'IFEP, que nous avons retracée à au moins April 2021.
Nous estimons que la vulnérabilité n'a pas été découverte, exploitée dans la nature, ni divulguée depuis au moins 2 ans.
Évaluation des risques et détails CVSS - 5,5/10
La vulnérabilité a été évaluée en fonction de sa criticité, de son impact et de sa possibilité d'exploitation en utilisant la métrique de notation CVSS, avec unestimated CVSS Scorede:
Rapport GDPR
Nous n'avons pas été en mesure de trouver de rapport ouvert ou de divulgation pour se conformer aux exigences de divulgation du RGPD.
La réglementation RGPD prévoit une exclusion de la divulgation obligatoire dans les cas de faible risque de violation des droits personnels, mais nous pensons qu'il est transparent d'informer les parties concernées des risques et des mesures prises, d'autant plus dans un domaine où les gens se soucient de la confidentialité de leurs données.
INCORPO.RO - COMMUNQUÉ OFFICIEL
Nous pensons que chacun devrait être conscient de l'ampleur du traitement de ses données. Bien que nous soyons favorables au traitement des données et que nous soyons nous-mêmes une plateforme utilisant l'analyse pour aider à façonner nos produits, nous pensons que cela devrait être fait de manière responsable et avec une divulgation appropriée.
Avec aucune action n'étant prise pour notifier les parties impliquées pendant presque un an, et la récente divulgation de la fuite de données de l'IFEP, nous pensons qu'il est raisonnable de divulguer aux parties impliquées les risques auxquels elles ont été exposées.
Sur cette page