Accéder au contenu principal

IFEP - Violation de données

Notification publique de violation de données et gestion incorrecte de la violation par IFEP, découverte et signalée à titre privé le 28 février 2023

Stefan-Lucian Deleanu

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023

BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.

RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.

Mise à jour n°1 : 06.01.2024 00:48

Détails de la version

Le 28 février 2023, IFEP, une plateforme construite en collaboration entre Intra Connect SRL et UNBR (Le barreau national)

Avec les informations suivantes rendues publiques :

  1. Nom complet: Identifier tous les avocats inscrits à un barreau en Roumanie.
  2. Code Numérique Personnel (CNP): Un identifiant unique contenant des données sensibles telles que la date de naissance, le sexe, le comté de naissance, etc.
  3. Adresse e-mail professionnelle : Les emails soumis par le barreau aux avocats.
  4. Legitimation Number: Numéro de série pour la légitimation, qui aurait pu être directement déduit via un outil sur le site de l'IFEP.

Difficulté de vulnérabilité - Faible

La vulnérabilité affectait un point de terminaison accessible au public et indexé par Google, ce qui permettait aux attaquants de télécharger une liste de tous les avocats, de leurs barreaux respectifs, de leurs adresses professionnelles et de leurs codes PIN associés (CNP).

Le point final :

  • N'avait aucune mesure d'authentification ou d'autorisation
  • Il ne devait pas être accessible au public, car il n'est pas utilisé dans l'application IFEP.
  • Était publiquement visible et indexé par Google Search.

Steps Taken

Nous avons immédiatement signalé le fait qu'un point de terminaison privé était indexé par Google, ainsi que le fait qu'il permettait un accès non autorisé à des informations privées, à l'adresse e-mail du support technique associée à l'IFEP.

Nous avons vérifié Un correctif a été mis en œuvre dans la journée suivant la notification de la vulnérabilité.

Nous n'avons reçu aucune notification de la part de l'UNBR, d'IntraConnect S.R.L. ou de toute autre entité responsable détaillant les mesures prises.

Nous n'avons remarqué aucune déclaration officielle de l'UNBR concernant l'ampleur de la perte de données.

La date à laquelle la vulnérabilité a été découverte coïncide (mais n'est pas liée) à la date de la proposition de construction d'un UNBR cloud pour avocats, et il est possible que la vulnérabilité n'ait pas été divulguée pour éviter d'envenimer un sujet de discussion déjà tendu au sein de la profession.

DIVULGATION :

Nous avons découvert la vulnérabilité en étudiant le processeur de données ainsi que le gestionnaire et le propriétaire du site IFEP, dans le contexte du manque de transparence entourant la proposition législative mentionnée précédemment.

Similar to our previous release of the identification, signalement et non-signalement de la violation concernant la base de données des comptables CECCAR, aujourd'hui, nous présentons un cas similaire, mais plus restreint, qui concerne tous les avocats roumains.

À la différence de la violation de données du CECCAR, celle-ci est plus limitée en matière de vol d'identité, en raison de la portée réduite des informations concernées.

De plus, en raison de la nature des professions juridiques, nous pensons que des données telles que les numéros d'identification personnelle (CNP) seraient déjà accessibles aux clients. Cependant, sur la base du consentement, nous estimons que les risques sont légèrement plus faibles.

Bien que cette faille de sécurité nécessite également peu d'efforts car elle implique d'accéder à un point de terminaison non authentifié, indexé publiquement et précédemment ouvertement accessible, son exploitation nécessite une interaction manuelle de la part d'un attaquant.

Une vulnérabilité précédemment signalée dans CECCAR a entraîné une divulgation non autorisée de presque toutes les données présentes sur un document d'identification personnel, les données étant envoyées à la fois à des utilisateurs normaux et malveillants de l'application.

À la différence de la violation de données du CECCAR, nous pensons que celle-ci a beaucoup moins de chances d'avoir été exploitée.

Période de violation

Bien que nous n'ayons pas pu évaluer l'ampleur de la faille, nous pensons que la violation existe depuis le développement initial de IFEP, que nous avons retracée jusqu'à au moins Avril 2021.

Nous estimons que la vulnérabilité n'a pas été découverte, exploitée dans la nature, ni divulguée pendant au moins 2 ans.

Évaluation des risques et détails CVSS - 5,5/10

La vulnérabilité a été évaluée en fonction de sa criticité, de son impact et de son exploitabilité à l'aide de la métrique de score CVSS, avec unestimated CVSS Scorede :

  • CVSS Base Score :7.5/10
  • Sous-score d'impact :3,6/10
  • Sous-score d'exploitabilité : 3.9/10
  • Score CVSS Temporel :7.2/10
  • Score environnemental CVSS : 5,5/10
  • Score de sous-impact modifié : 1,8/10
  • Score CVSS global : 5.5/10

Rapport RGPD

Nous n'avons trouvé aucun rapport ou déclaration ouvert(e) pour respecter les exigences de divulgation du RGPD.

Bien que le RGPD prévoie une exception à l'obligation de divulgation en cas de faible risque d'atteinte aux droits personnels, nous pensons qu'il est transparent d'informer les parties concernées des risques encourus et des mesures prises, d'autant plus dans un domaine où la confidentialité des données est une préoccupation importante.

INCORPO.RO - COMMUNIQUÉ OFFICIEL

We believe that everyone should be aware the extent of the way their data is processed. While we are pro-processing, and are ourselves a platform that does use analytics to help shape our products, we believe this should be done responsibly and with proper disclosure.

Étant donné qu'aucune mesure n'a été prise pour informer les parties concernées depuis presque un an, et compte tenu de la récente révélation de la fuite de données de l'IFEP, nous pensons qu'il est tout à fait raisonnable d'informer les parties concernées des risques auxquels elles ont été exposées.