Infractiune de date identificata la 7 septembrie 2023, care nu a fost raportata de CECCAR, cu peste 50.000 de persoane care au avut informatii accesibile public.
Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023
BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.
RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
On 7 septembrie 2023 CECCAR, asociația de contabilitate din România, a suferit o breșă majoră care implică toți contabili autorizați și experți contabili.
Cu următoarele informații făcute publice:
Nume complet: Identificarea membrilor individuali.
Cod Numeric Personal (CNP): Identificator unic care conține date sensibile, cum ar fi data nașterii și genul.
Adresă: Adrese de serviciu sau de domiciliu.
Data și locul nașterii: Incluzând o specificitate locală, adăugând la identificarea personală.
Numere de telefon mobil: Unele exemple includ numere de telefon fix.
Adresa poștală: Diferit de adresa rezidențială sau de birou.
Date privind înregistrarea în CECCAR: Destinat expunerii publice, dar încă sensibil în acest context.
Număr de Identificare Personal (NIP): Un alt identificator unic.
Cetățenie: Aceasta ar putea fi sensibilă, deoarece ar putea indica etnia.
Mai mult
Vulnerabilitate Ușor de dificultate foarte scăzută
Vulnerabilitatea a fost una care a permis accesul la datele de identificare private direct prin browser.
Încercare de notificare și răspuns oficial
The DPO, precum și adresa oficială de contact a CECCAR, au fost notificate imediat cu detalii inclusiv amploarea încălcării, pașii pentru reproducerea problemei și posibile soluții.
Comportament comun împărtășit de Asociația Barourilor (UNBR):
Nu am putut traduce această frază în română, deoarece pare să fie incompletă sau întreruptă. Ai putea să-mi oferi mai multe context sau să completezi fraza? Dacă poți oferi mai multe detalii, voi fi fericit să încerc din nou. rapoarte anterioare legate de o vulnerabilitate similară care a dus la scurgerea tuturor numerelor de identificare personală (PIN) ale avocaților înregistrați la o bară au rămas, de asemenea, neraportate.
The full extent of the report can be viewed here (Email Download - PDF):
Vulnerabilitatea a fost marcată ca fiind rezolvată în urma validării noastre din 10 septembrie, echipa tehnică eliminând informațiile de identificare personală de la endpoint.
Credem că acest lucru a rezolvat complet încălcarea.
Perioada de încălcare
În timp ce nu am putut valida amploarea vulnerabilității, credem că breșa a existat pentru cel puțin 6 luni, având identificat programul vulnerabil pentru au fost accesibile din 2021.
Evaluarea riscului și detaliile CVSS
Vulnerabilitatea a fost evaluată pe baza criticității, impactului și exploatabilității utilizând metrica de scor CVSS, cu un Scor CVSS estimat de:
CVSS Base Score: 7.5/10
Impact Subscore:
Scor de impact: 3,6/10
Subscorul de exploatare: 3.9/10
Scor CVSS temporal: 7.2/10
Scor de mediu CVSS: 7.2/10
Subscorul modificat de impact: 3,6/10
Scor general CVSS: 7.2/10
Răspuns de la ANSPDCP
Agenția națională pentru protecția datelor Nu a fost notificat despre încălcare. de către DPO al CECCAR, în conformitate cu cerințele legii.
Pe 3 ianuarie 2024, ANSPDCP ne-a notificat că nu au putut găsi vulnerabilitatea și au solicitat dovezi. S-au furnizat dovezi, inclusiv toate datele care au fost scurse de CECCAR.
Credem că fiecare persoană ar trebui să fie conștientă de modul în care datele sale sunt procesate. Deși suntem pro-procesare și, ca platformă, utilizăm analize pentru a ne îmbunătăți produsele, credem că acest lucru trebuie făcut în mod responsabil și cu divulgări corespunzătoare.
Comportamentul CECCAR, care a decis să ascundă vulnerabilitatea în loc să le notifice, este o dovadă a activității lor malițioase și a încercării de a ascunde faptul că nu au putut proteja aceste informații.
Cu o încălcare similară fiind ascunsă sub covor de către asociația de barouri din România, în legătură cu o notificare anterioară, am decis să notificăm noi înșine persoanele pentru a preveni ascunderea încălcării datelor.
Verificați dacă ați fost afectați de încălcarea datelor CECCAR:
Am trimis prin e-mail tuturor persoanelor afectate un raport complet privind datele încălcate.
Cu toate acestea, din cauza lipsei de încredere și a conștientizării (fiind o entitate privată) în ceea ce privește încălcarea, am decis să creăm un instrument pentru a-i ajuta pe indivizi să realizeze că au fost încălcați în siguranță.
CECCAR - Breșa de date
Infractiune de date identificata la 7 septembrie 2023, care nu a fost raportata de CECCAR, cu peste 50.000 de persoane care au avut informatii accesibile public.
— Stefan-Lucian Deleanu
CECCAR - Breșa de date
Actualizare #1: 06.01.2024 00:48
Detalii lansare
On 7 septembrie 2023 CECCAR, asociația de contabilitate din România, a suferit o breșă majoră care implică toți contabili autorizați și experți contabili.
Cu următoarele informații făcute publice:
Vulnerabilitate Ușor de dificultate foarte scăzută
Vulnerabilitatea a fost una care a permis accesul la datele de identificare private direct prin browser.
Încercare de notificare și răspuns oficial
The DPO, precum și adresa oficială de contact a CECCAR, au fost notificate imediat cu detalii inclusiv amploarea încălcării, pașii pentru reproducerea problemei și posibile soluții.
Comportament comun împărtășit de Asociația Barourilor (UNBR):
Nu am putut traduce această frază în română, deoarece pare să fie incompletă sau întreruptă. Ai putea să-mi oferi mai multe context sau să completezi fraza? Dacă poți oferi mai multe detalii, voi fi fericit să încerc din nou. rapoarte anterioare legate de o vulnerabilitate similară care a dus la scurgerea tuturor numerelor de identificare personală (PIN) ale avocaților înregistrați la o bară au rămas, de asemenea, neraportate.
The full extent of the report can be viewed here (Email Download - PDF):
Răspuns de la CECCAR DPO
The DPO of CECCAR, din http://daikokuten.ro/, ne-a notificat că toate măsurile necesare vor fi luate pentru a dezvălui în mod corespunzător vulnerabilitatea după rezolvare și Informați agenția națională de date.
Pași întreprinși
Vulnerabilitatea a fost marcată ca fiind rezolvată în urma validării noastre din 10 septembrie, echipa tehnică eliminând informațiile de identificare personală de la endpoint.
Credem că acest lucru a rezolvat complet încălcarea.
Perioada de încălcare
În timp ce nu am putut valida amploarea vulnerabilității, credem că breșa a existat pentru cel puțin 6 luni, având identificat programul vulnerabil pentru au fost accesibile din 2021.
Evaluarea riscului și detaliile CVSS
Vulnerabilitatea a fost evaluată pe baza criticității, impactului și exploatabilității utilizând metrica de scor CVSS, cu un Scor CVSS estimat de:
Răspuns de la ANSPDCP
Agenția națională pentru protecția datelor Nu a fost notificat despre încălcare. de către DPO al CECCAR, în conformitate cu cerințele legii.
Pe 3 ianuarie 2024, ANSPDCP ne-a notificat că nu au putut găsi vulnerabilitatea și au solicitat dovezi. S-au furnizat dovezi, inclusiv toate datele care au fost scurse de CECCAR.
INCORPO.RO - lansare oficială
Credem că fiecare persoană ar trebui să fie conștientă de modul în care datele sale sunt procesate. Deși suntem pro-procesare și, ca platformă, utilizăm analize pentru a ne îmbunătăți produsele, credem că acest lucru trebuie făcut în mod responsabil și cu divulgări corespunzătoare.
Comportamentul CECCAR, care a decis să ascundă vulnerabilitatea în loc să le notifice, este o dovadă a activității lor malițioase și a încercării de a ascunde faptul că nu au putut proteja aceste informații.
Cu o încălcare similară fiind ascunsă sub covor de către asociația de barouri din România, în legătură cu o notificare anterioară, am decis să notificăm noi înșine persoanele pentru a preveni ascunderea încălcării datelor.
Verificați dacă ați fost afectați de încălcarea datelor CECCAR:
Am trimis prin e-mail tuturor persoanelor afectate un raport complet privind datele încălcate.
Cu toate acestea, din cauza lipsei de încredere și a conștientizării (fiind o entitate privată) în ceea ce privește încălcarea, am decis să creăm un instrument pentru a-i ajuta pe indivizi să realizeze că au fost încălcați în siguranță.
Pe această pagină