Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023
BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.
RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
Pentru 7 septembrie 2023 CECCAR, asociația românească de contabilitate, a suferit o breșă majoră de date care implică toți experții contabili și contabilii autorizați.
Având în vedere faptul că informațiile următoare au fost făcute publice:
Full Name: Identificarea membrilor individuali.
Cod Numeric Personal (CNP): Identificator unic ce conține date sensibile precum data nașterii și genul.
Adresă: Adrese de domiciliu sau de serviciu.
Data și locul nașterii: Incluzând localitatea specifică, adăugând la identificarea personală.
Numere de telefon mobil: Unele exemple includ numere de telefon fixe.
Mailing Address: Diferită de adresa de reședință sau cea de la birou.
Date legate de Înregistrarea în CECCAR: Destinat afișării publice, dar încă sensibil în acest context.
Număr de Identificare Personală (NIP): Un alt identificator unic.
Cetățenie: Acest lucru ar putea fi sensibil, deoarece ar putea indica apartenența etnică.
Mai multe
Dificultatea vulnerabilității foarte scăzută
Vulnerabilitatea a fost una care a permis accesul la date de identificare privată direct prin browser,
Notificare încercare și răspuns oficial
DPO, precum și adresa de contact oficială a CECCAR, au fost notificate imediat cu detalii care includ amploarea încălcării, pașii pentru reproducerea problemei și posibile soluții.
Common behavior shared by the Bar Association (UNBR):
Am trimis un cc către agenția națională de protecție a datelor pentru a ne asigura că încălcarea este notificată în mod corespunzător deoarece rapoarte anterioare legate de o vulnerabilitate similară care a dus la scurgerea tuturor PIN-urilor (CNP-urilor) avocaților înscriși în barou, care, de asemenea, nu au fost raportate.
Raportul complet poate fi consultat aici (Descărcare prin e-mail - PDF):
Vulnerabilitatea a fost marcată ca rezolvată în urma validării noastre din 10 septembrie, echipa tehnică eliminând informațiile personale de identificare din endpoint.
Credem că aceasta a remediat complet breșa.
Perioada de încălcare
În timp ce nu am putut valida amploarea vulnerabilității, credem că încălcarea a existat pentru cel puțin 6 luni, identificând programul vulnerabil la au fost accesibile din 2021.
Risk assessment and CVSS details
Vulnerabilitatea a fost evaluată în funcție de criticitate, impact și exploatabilitate folosind metrica de punctaj CVSS. estimare CVSS Scor de:
Punctaj de bază CVSS: 7.5/10
Subscorul de impact: 3.6/1o
Subscor de exploatabilitate: 3.9/10
Punctaj CVSS Temporal: 7.2/10
Punte de evaluare a vulnerabilităților sistemelor de securitate: 7,2/10
Subscor Impact Modificat: 3,6/10
Scor CVSS general: 7.2/10
Răspuns din partea ANSPDCP
Agenția națională de protecție a datelor nu a fost înștiințat despre încălcare de către DPO al CECCAR, în conformitate cu cerințele legii.
La data de 3 ianuarie 2024, ANSPDCP ne-a notificat că nu a putut identifica vulnerabilitatea și a solicitat dovezi. Au fost furnizate dovezi, inclusiv toate datele scurse de CECCAR.
Credem că toată lumea ar trebui să cunoască amploarea modului în care datele lor sunt prelucrate. Deși suntem pro-prelucrare și suntem noi înșine o platformă care folosește analize pentru a-și îmbunătăți produsele, credem că acest lucru ar trebui făcut responsabil și cu o divulgare adecvată.
Comportamentul CECCAR, care a decis să ascundă vulnerabilitatea în loc să îi notifice, este o dovadă a activității malițioase din partea lor și a încercării de a ascunde faptul că nu au putut proteja aceste informații.
Cu o breșă similară fiind ascunsă sub preș de către baroul din România, în legătură cu o notificare anterioară, am decis să îi notificăm noi înșine pe cei în cauză pentru a preveni ascunderea încălcării securității datelor.
Verifică dacă datele tale au fost compromise în breșa de date CECCAR:
Am trimis un e-mail tuturor persoanelor afectate de breșă, cu un raport complet al datelor compromise.
Cu toate acestea, din cauza lipsei de încredere și conștientizare (suntem o entitate privată) în legătură cu încălcarea, am decis să creăm un instrument care să-i ajute pe oameni să realizeze în siguranță că au fost afectați de o breșă de date.
CECCAR - Breșă de date
A fost identificată o breșă de date la 7 septembrie 2023, care nu a fost raportată de CECCAR, expunând informațiile a peste 50.000 de persoane.
— Stefan-Lucian Deleanu
CECCAR - Breșă de date
Update #1: 06.01.2024 00:48
Detalii lansare
Pentru 7 septembrie 2023 CECCAR, asociația românească de contabilitate, a suferit o breșă majoră de date care implică toți experții contabili și contabilii autorizați.
Având în vedere faptul că informațiile următoare au fost făcute publice:
Dificultatea vulnerabilității foarte scăzută
Vulnerabilitatea a fost una care a permis accesul la date de identificare privată direct prin browser,
Notificare încercare și răspuns oficial
DPO, precum și adresa de contact oficială a CECCAR, au fost notificate imediat cu detalii care includ amploarea încălcării, pașii pentru reproducerea problemei și posibile soluții.
Common behavior shared by the Bar Association (UNBR):
Am trimis un cc către agenția națională de protecție a datelor pentru a ne asigura că încălcarea este notificată în mod corespunzător deoarece rapoarte anterioare legate de o vulnerabilitate similară care a dus la scurgerea tuturor PIN-urilor (CNP-urilor) avocaților înscriși în barou, care, de asemenea, nu au fost raportate.
Raportul complet poate fi consultat aici (Descărcare prin e-mail - PDF):
Răspuns de la CECCAR DPO
DPO-ul CECCAR, din http://daikokuten.ro/, ne-a notificat că se vor lua toate măsurile necesare pentru a dezvălui corespunzător vulnerabilitatea post-rezoluție și informați agenția națională de date.
Pași urmați
Vulnerabilitatea a fost marcată ca rezolvată în urma validării noastre din 10 septembrie, echipa tehnică eliminând informațiile personale de identificare din endpoint.
Credem că aceasta a remediat complet breșa.
Perioada de încălcare
În timp ce nu am putut valida amploarea vulnerabilității, credem că încălcarea a existat pentru cel puțin 6 luni, identificând programul vulnerabil la au fost accesibile din 2021.
Risk assessment and CVSS details
Vulnerabilitatea a fost evaluată în funcție de criticitate, impact și exploatabilitate folosind metrica de punctaj CVSS. estimare CVSS Scor de:
Răspuns din partea ANSPDCP
Agenția națională de protecție a datelor nu a fost înștiințat despre încălcare de către DPO al CECCAR, în conformitate cu cerințele legii.
La data de 3 ianuarie 2024, ANSPDCP ne-a notificat că nu a putut identifica vulnerabilitatea și a solicitat dovezi. Au fost furnizate dovezi, inclusiv toate datele scurse de CECCAR.
INCORPO.RO - LANSARE OFICIALĂ
Credem că toată lumea ar trebui să cunoască amploarea modului în care datele lor sunt prelucrate. Deși suntem pro-prelucrare și suntem noi înșine o platformă care folosește analize pentru a-și îmbunătăți produsele, credem că acest lucru ar trebui făcut responsabil și cu o divulgare adecvată.
Comportamentul CECCAR, care a decis să ascundă vulnerabilitatea în loc să îi notifice, este o dovadă a activității malițioase din partea lor și a încercării de a ascunde faptul că nu au putut proteja aceste informații.
Cu o breșă similară fiind ascunsă sub preș de către baroul din România, în legătură cu o notificare anterioară, am decis să îi notificăm noi înșine pe cei în cauză pentru a preveni ascunderea încălcării securității datelor.
Verifică dacă datele tale au fost compromise în breșa de date CECCAR:
Am trimis un e-mail tuturor persoanelor afectate de breșă, cu un raport complet al datelor compromise.
Cu toate acestea, din cauza lipsei de încredere și conștientizare (suntem o entitate privată) în legătură cu încălcarea, am decis să creăm un instrument care să-i ajute pe oameni să realizeze în siguranță că au fost afectați de o breșă de date.
În această pagină