Cum functiona bresa Rejust.ro

Platforma ReJust.ro este aplicatia prin care profesionistii in drept, dar si cetatenii de rand pot consulta variante anonimizate a dosarelor din justitie.

In mod normal, aceasta aplicatie trebuie pe de-o parte sa nu includa informatii cu caracter personal care sa poata periclita partile din dosar, si pe de alta parte sa ofere profesionistilor in drept acces la informatia de care au nevoie pentru a intelege comportamentul instantelor fata de anumite spete comune sau recurente.

Platforma trebuie deci sa balanseze nevoia de informare a justitiabililor cu nevoia de pastrare in siguranta a datelor sensibile ale partilor, a martorilor, etc.

Update 27.08.2025: Informatii despre bresa VIDEO

Care a fost, de fapt, bresa ReJust.ro

Bresa principala, cea mai severa care afecta ReJust.ro era datorata lipsei de responsabilitate a magistratilor din instante, cumulat cu lipsa de masuri luate din partea gestionarilor platformei rejust.ro - adica consiliul suprem al magistraturii.

In primul rand, multe dosare erau complet neanonimizate, folosind cerneala albastra pentru a "anonimiza" parola de acces la dosar.

Cantitatea de dosare susceptibile la aceasta forma de neglijenta sunt in ordinul sutelor, dar dovedeste la prima mana lipsa de atentie acordata modului in care datele devin ulterior procesate sau chiar publicate.

Neglijenta profesionala a grefierilor, cumulata cu indiferenta institutionala a CSM a dus la nesolutionarea unei vulnerabilitati severe, lipsita de caracter tehnic. In speta, oricine putea cauta pe rejust sintagma "folositi parola", pentru a obtine o lista cu peste 170.000 de dosare vulnerabile.

Evident, parola fara utilizator (in acest caz, numarul de dosar este inutila), dar acest aspect este foarte usor de rectificat daca tinem cont ca: a) numarul de dosare intr-o instanta specifica, cu obiect specific, cu data specifica este sub 10, in cele mai aglomerate instante. b) Sistemul dosare.just.ro permite cautare avansata folosind API, si majoritatea tool-urilor de cautare in dosare permit acum si cautari avansate.

Practic, luai datele despre dosar din rejust.ro, si le cautai pe just.ro, pentru a gasi 2-3 dosare. Verificai si comparai dispozitivul, care te ajuta sa identifici exact dosarul de fata.

Astfel, aveai si numarul de dosar pe care il puteai extrage de pe rejust.ro. Analog, si invers, cautarea se poate face pe rejust.ro cu datele din just.ro.

Cu cele doua, aveai acces la dosarul electronic, la care te conectai.

Urmatorul pas, pentru un actor malicios, ar fi fost sa foloseasca aceste cunstinte pentru a exfiltra date sensibile, si a porni campanii de santaj / de obtinere de informatii, samd. De aici si gravitatea.

Odata de-anonimizat dosarul rejust.ro, odata obtinuta parola, ai acces complet la dosarul electronic avand si utilizatorul si parola de acces.

Cum am descoperit bresa?

Prima bresa din pachetul notificat catre CSM in August 2024 a fost aceasta, si am aflat de ea de la un prieten consultant fiscal. Problema era atat de simpla incat a descoperit-o, si mi-a povestit incidental de ea, fara insa sa o raporteze. Am raportat-o eu catre CSM.

A doua bresa voi aduce mai multe detalii pe masura ce ma asigur ca s-a solutionat iar riscul este minim spre inexistent pentru victime sa fie afectate de o eventuala divulgare prematura, chiar daca ea s-ar datora culpei CSM.

Pe cine afecteaza aceasta bresa

Aproximativ 170.000 de dosare care sunt in circumscriptiile Constanta, Cluj, Targu Mures, Pitesti, Craiova, Timisoara, orice instanta folosea platforma de dosar electronic a Curtii de Apel Cluj.

Majoritatea erau concentrate in Constanta, Cluj, Pitesti. O parte din rezultate indica alte parole, dar acestea reprezinta aproximativ 10% din dosare. Din toate dosarele parcurse pentru a valida existenta bresei (~20-30), doar 2 au fost fals-pozitive, adica doar 2 erau contorizate in plus.

Putem estima ca numarul real de dosare vulnerabile era in jur de 150.000 de dosare + cele afectate de alta bresa ce va fi detaliata ulterior, si este un nivel de dificultate mai redus fata de bresa de fata.

Categoria cu cel mai înalt risc de exploatare sistematică o reprezintă dosarele familiale și privind minorii. Acestea includ 4.904 cazuri de partaj bunuri și lichidare regim matrimonial, 837 cazuri de exercitare autoritate părintească, 688 cazuri de pensie întreținere și 129 ordine de protecție.

Aceste dosare conțin date personale sensibile, inclusiv adrese, informații financiare și evaluări psihologice, reprezentând ținte prioritare pentru operațiuni de intelligence gathering și social engineering.

În domeniul infracționalității economice, cele 376 de dosare de evaziune fiscală și 698 cereri de insolvență constituie surse valoroase pentru grupările de criminalitate economică organizată. Informațiile despre scheme financiare, conturi bancare și relații de afaceri pot fi monetizate prin extorcare, insider trading sau vânzare pe piețe underground.

Dosarele penale sensibile, incluzând 136 cazuri de violență domestică, 52 cazuri de proxenetism și 20 cazuri de trafic de persoane, prezintă risc ridicat de revictimizare. Grupurile infracționale organizate pot utiliza aceste date pentru identificarea victimelor vulnerabile sau pentru protejarea propriilor operațiuni prin compromiterea martorilor.

Litigiile patrimoniale, reprezentate de 9.662 contestații la executare și 8.555 cazuri succesorale, oferă intelligence valoros pentru targeted attacks. Actorii APT pot utiliza aceste informații pentru spear phishing, pretexting sau alte tehnici de compromitere țintită a persoanelor cu patrimoniu semnificativ.

Ce au facut autoritatile publice?

DNSC si-a facut treaba, si a notificat autoritatile responsabile

Nu au sanctionat pe nimeni pentru situatia creata, nu au luat masuri impotriva nimanui pentru problema, nu par sa fi instruit grefierii pentru a preveni situatia din a se intampla pe viitor.

ANSPDCP ne-a comunicat ca ea nu este autoritate care sa surpavegheze si sa sanctioneze eventualele exfiltrari de date din partea puterii judecatoresti, acest rol fiind al CSM. CSM nu s-a auto-sanctionat, preferand sa ascunda problema si sa nu aplice regulamentul GDPR.

Dupa aproape 12 luni, am intrat pe site-urile raportate ca fiind vulnerabile in mod anterior, sa verific daca problema a fost solutionata. Am descoperit ca solutionarea a fost una superficiala, permitand in continuare obtinerea accesului la dosare, prin intermediul parolei.

Astazi dimineata am re-notificat institutiile, si pornit procedura de disclosure pentru existenta vulnerabilitatii intr-un mod care sa nu implice risc pentru victime. Datorita presiunii publice, CSM a solutionat in timp record problema.

La ora 11:04 am confirmat solutionarea problemei, verificand de mai multe ori platforma pentru a ma asigura ca nu exista riscuri de divulgare a datelor sensibile.

Am confirmat problemele raportate catre justitie-ag ca fiind solutionate in decursul zilelor anterioare. Cu privire la cele mentionate de instanta, apar urmatoarele critici:

1. Chiar si daca site-ul acceseaza indirect sistemul ecris, exista riscul ca odata intrat in sistem, un actor malicios sa poata obtine privillege escalation, mai ales dat fiind natura tech stack-ului invechit, si neglijarea standardelor de securitate cibernetica in dezvoltarea aplicatiei. De aceea, simpla existenta a bresei curente indica ca probabil problemele sunt mult mai grave in spate, si orice actor malicios motivat risca sa le identifice si exploateze.
2. Sa speram ca analiza acestora este una temeinica.
3. Foarte bine.
4. Problema era ca se putea face SQL injection (interactiona direct cu baza de date accesibila aplicatiei web) prin intermediul ID-ului aplicatiei, iar nu cea ca puteai accesa alte dosare.
5. Foarte bine.

Raspunsul autoritatilor post re-notificare (Actualizat 14:43 18.08.2025):

Imi propun mai jos sa transparentizez cat mai mult pot interactiunea statului roman, astfel incat sa fortez solutionarea constructiva a problemelor si implementarea de masuri pentru a reduce riscul persistentei unor probleme similare.

Astfel, ma asigur ca autoritatile nu pot nega cunoasterea problemei, sau incerca sa caute solutii in afara cadrului legal.

Interactiuni formale (contact):

Interactiuni cu platforma web:

Folosind tehnici de analiza a log-urilor platformei web, am analizat zonele de accesare a aplicatiei, cu scopul de a evidentia interactiunea autoritatilor publice cu bresa.

Interactiuni - Directia Nationala de Securitate Cibernetica

Prima interactiune din partea DNSC s-a realizat la ora 9:00, pe data de 17.08.2025, anterior solutionarii vulnerabilitatii din partea CSM, probabil ca rezultat al interventiei DNSC.

Ea a vizat strict pagina principala a site-ului, probabil cu scopul de a identifica sursa notificarii transmise cu cateva ore in urma catre institutie.

Interactiuni - Serviciul Roman de Informatii

Durata scurta a sesiunii medii denota mai degraba o activitate de tip scanare informativa, in care operatorii au parcurs rapid continutul pentru a identifica tematica si nivelul de expunere publica, fara a intra intr-o analiza detaliata a fiecarui material.

Acest tip de comportament este caracteristic unor verificari preliminare sau unor rapoarte de awareness, menite sa ofere factorilor decizionali o imagine sintetica asupra riscului reputational si a potentialelor implicatii institutionale.

Interactiuni - Directia Nationala Anticoruptie

Am monitorizat interactiuni de durata lunga din partea unui IP asociat directiei nationale anticoruptie, care dovedesc implicarea autoritatilor anticoruptie in analiza bresei. Accesarea s-a realizat incepand cu ora 10:00, in timpul orelor de lucru.

Durata prelungita a sesiunii web (in care fila browser a fost deschisa intermitent), cu parcurgerea succesiva a continutului materialului genereaza aparenta accesarea in scopul de lucru. Utilizatorul pare a parcurge si analiza succesiv informatiile analizate in articol.

Raspunsul Oficial al CSM (Renotificare) - Update 13.09.2025:

In mod regretabil, Consiliul Superior al Magistraturii a venit cu un raspuns ezitant, nerecunoscandu-si eroarea si neluand masurile de rigoare pentru a preveni aceste masuri in viitor.

In primul rand, desi afirmatia ca numarul national al dosarului nu poate fi obtinut este adevarat, CSM cunoaste existenta platformei si API-urilor oferite de portal.just.ro, platforma a Ministerului Justitiei dezvoltata pe fonduri europene.

Astfel, utilizand aplicatia gratuita, publica portal.just.ro, se poate realiza un fingerprint asupra dispozitivului + data + instanta + obiect dosar pentru a identifica in mod automat numarul national.

Consideram ca CSM cunostea in mod probabil aceste riscuri, participand in implementarea platformei portal.just.ro. Cu toate acestea, ei au decis ca riscul deanonimizarii si unei ulterioare accesari neautorizate nu reprezinta un risc suficient pentru a necesita o modificare care sa reduca poate numarul de date anonimizate.

Afirmatia ca CSM a intervenit rapid este adevarata, dar omite faptul ca interventia initiala si cea secundara vizeaza aceleasi probleme tehnice, respectiv anonimizarea deficitara a parolelor de acces pentru dosarele electronice asociate hotararilor vizibile pe rejust.ro.

Acest lucru inseamna ca de fapt, interventiile au fost ineficiente in a solutiona problema, problema nefiind remediata un intreg an de zile. Chiar si anterior, bresa a ramas accesibila publicului de la lansarea platformei, un timp mult mai lung.

In industrie, un astfel de raspuns ar fi considerat neglijent, cel putin. Finalmente, apararea prin care CSM afirma ca termenii si conditiile sau jurnalizarea sunt necesare ignora simplitatea eludarii urmaririi penale de catre actorii cibernetici, care pot utiliza VPN-uri pentru a isi ascunde locatia reala.

Utilizarea VPN-urilor se face la scara larga, se face prin mixare (fiind dificil sa identifici real cine este utilizatorul VPN care a accesat in acel moment sistemul) si mai mult, rareori jurnalizat. Furnizorii VPN vand aceasta functie ca un avantaj - intimitatea absoluta.

Implicit, orice masuri de securitate ce se bazeaza pe un raspuns punitiv sunt inutile - organul de urmarire penala va fi in imposibilitate sa ia masuri pentru a trage la raspundere un actor malicios nestatal.

Cat despre riscurile de securitate nationala ce deriva din cantitatea mari de informatii big data ce ar putea sa fi fost procesate in perioada anterioara, cantitatea mare de informatii poate fi utilizata pentru a identifica vulnerabilitati personale ale unor persoane de interes.

Spre exemplu, un actor statal ar putea analiza istoricul litigios al unei persoane de interes, identifica faptul ca persoana vizata consuma continut pornografic (informatii obtinute din dosarul electronic in divortul victimei) si/sau a avut o conduita infidela probata, si decide sa il santajeze cu publicarea documentelor din dosar, pentru a ii afecta capitalul politic. Alt exemplu este analiza apetitului la mita, prin identificarea conduitei in relatie cu litigiile cu miza in bani.

Un alt exemplu mai extrem dar improbabil ar fi analiza unor informatii din certificatele medico-legale sau documentatia medicala pentru a afla anumite probleme de sanatate ale persoanei ce pot fi exploatate.

Toate devin din ce in ce mai utile in contextul in care tehnologia IA permite analizarea de informatii la scara larga, si extragerea de informatii comportamentale utile pentru atacatorii sofisticati.

Q&A: Criza de Securitate Cibernetică din Sistemul Judiciar Românesc

Mai jos, cateva raspunsuri la intrebari pe care cred ca le-ar pune multi. M-am ajutat de AI pentru a genera intrebari ce reies rational din informatiile prezentate.

Q: Cum ați descoperit vulnerabilitățile din sistemul judiciar românesc?

Prima breșă din pachetul notificat către CSM în august 2024 a fost aceasta, și am aflat de ea de la un prieten consultant fiscal. Problema era atât de simplă încât a descoperit-o, și mi-a povestit incidental de ea, fără însă să o raporteze. Am raportat-o eu către CSM.

Cu 3 click-uri, și folosind sintagma "folosiți parola", se puteau accesa parolele dosarelor prin intermediul ReJust.ro. Marea majoritate a problemelor necesită un browser, și un mouse, o tastatură. Nu necesită niciun program specializat sau cunoștințe tehnice pentru a fi exploatate.

Q: Care este amploarea reală a breșelor pe care le-ați identificat?

Sunt peste 10 breșe pe care le-am raportat, niciuna notificată voluntar. Monitorul Oficial, Curtea de Apel Cluj, Înalta Curte de Casație și Justiție, curți militare, peste 80% din instanțele din România au fost expuse.

Au fost expuși milioane de cetățeni, iar gradul de expunere cel mai sever este în sfera instanțelor unde documentele din dosarele electronice pot include certificate medico-legale, detalii despre abuzul domestic, alte informații foarte sensibile.

Aproximativ 170.000 de dosare care sunt în circumscripțiile Constanța, Cluj, Târgu Mureș, Pitești, Craiova, Timișoara, orice instanță folosea platforma de dosar electronic a Curții de Apel Cluj.

Q: Ce tipuri de date sensibile sunt expuse prin aceste vulnerabilități?

Categoria cu cel mai înalt risc de exploatare sistematică o reprezintă dosarele familiale și privind minorii. Acestea includ 4.904 cazuri de partaj bunuri și lichidare regim matrimonial, 837 cazuri de exercitare autoritate părintească, 688 cazuri de pensie întreținere și 129 ordine de protecție.

În domeniul infracționalității economice, cele 376 de dosare de evaziune fiscală și 698 cereri de insolvență constituie surse valoroase pentru grupările de criminalitate economică organizată.

Dosarele penale sensibile, incluzând 136 cazuri de violență domestică, 52 cazuri de proxenetism și 20 cazuri de trafic de persoane, prezintă risc ridicat de revictimizare.

Q: Cum au reacționat autoritățile când le-ați raportat problemele?

ANSPDCP ne-a comunicat că ea nu este autoritate care să supravegheze și să sancționeze eventualele exfiltrări de date din partea puterii judecătorești, acest rol fiind al CSM.

CSM nu s-a auto-sancționat, preferând să ascundă problema și să nu aplice regulamentul GDPR. Inspecția Judiciară a argumentat că nu e nicio faptă problematică, nicio formă de neglijență gravă care a determinat publicarea parolelor în citații, care sunt documente cu caracter public.

După aproape 12 luni, am intrat pe site-urile raportate ca fiind vulnerabile în mod anterior, să verific dacă problema a fost soluționată. Am descoperit că soluționarea a fost una superficială, permițând în continuare obținerea accesului la dosare, prin intermediul parolei.

Q: Există dovezi că aceste vulnerabilități sunt exploatate activ?

Cunosc mai multe cazuri în care după ce am notificat autoritățile și am făcut publice breșe, operatori economici care au vazut divulgarile publice ulterioare mi-au comunicat că ei folosesc activ breșe similare pe care statul nu le-a detectat încă, în scop economic, curiozitate, etc. Majoritatea breșelor erau deschise de ani de zile și puteau fi oricând exploatate de actori statali.

Vulnerabilitatea pare să fi fost exploatată in the wild, fiind adusă la cunoștința subsemnatului de un profesionist în drept care a identificat problema cercetând jurisprudența accesibilă prin platforma rejust.ro.

Q: Ce s-a întâmplat după ce ați expus public vulnerabilitățile UNBR și CECCAR?

După ce am notificat eu victimele, în cazul UNBR + CECCAR, mi-au făcut plângere penală care eu cred că se va clasa. Dovadă că sistemul preferă să caute țapi ispășitori decât să ia măsuri. Am fost chemat în calitate de martor la aproximativ un an distanță.

Procurorul mi-a afirmat că e bine ce fac, dar mă pune pe drumuri. Am fost supus tentativelor de intimidare prin acțiunile celor responsabili, care au rolul să descurajeze măsuri care sa duca la sanctionarea lor. Spre exemplu, riscul de a fi umblat prin instanțe, de a necesita sume înspre avocați etc reprezintă un mod de coerciție.

Q: Care este rolul firmei INTRACONNECT SRL în aceste breșe?

INTRACONNECT SRL este un exemplu de entitate care a fost responsabilă de aproximativ 50% din breșele în sistemele informatice ale instituțiilor publice. Același operator s-a ocupat și de UNBR, și de sistemul eMAP și de alte platforme pe care nu le voi menționa.

Nu știu cum se atribuie contractele, dacă sunt verificări de securitate pentru aceștia sau modul în care le sunt monitorizate performanțele.

Q: Ce riscuri prezintă aceste vulnerabilități pentru securitatea națională?

Sistemul avea mai multe probleme critice, care permiteau accesarea oricărui cont fără parolă, mă gândesc și conturile admin, puteau fi utilizate pentru observarea tuturor fișierelor printre care erau arhive ale programului ce rula pe sistemul informatic.

Pe termen lung aceste probleme puteau fi folosite pentru acțiuni de destabilizare, spre exemplu prin declararea stării de asediu în mod fals, în perioade în care durata de răspuns al autorităților urma să fie mai mare. Putea fi publicat un decret care stabilea starea de război, pentru a genera instabilitate în populație și a determina o insurecție pentru a răsturna ordinea de stat.

Q: De ce CSM nu ia măsuri efective pentru rezolvarea problemelor?

CSM profită de independența constituțională pentru a nu respecta legea, și invocă excesiv independența justiției pentru a nu aplica sancțiuni. CSM controlează Inspecția Judiciară care poate înlătura din sistem și lăsa fără loc de muncă magistrații care ar judeca corect procesele cu proprii șefi.

Sistemul este iremediabil corupt, și nu pare că guvernul sau puterea politică reușesc să îl țină sub control, datorită influenței enorme pe care CCR o are împreună cu CSM. Practic, nicio lege nu trece sau este aplicată dacă ei nu vor asta.

Q: Cum afectează această situație cetățenii străini și relațiile internaționale?

Sunt implicați cetățeni din zeci de state, de la cetățeni ai SUA până la cetățeni germani, francezi, italieni, emirați, etc. Am notificat Germania dat fiind strictețea pentru GDPR și influența în cadrul UE, Franța dat fiind apropierea culturală și ajutorul pe care ni l-au oferit din perioada obținerii independenței ca țară.

România a refuzat spre exemplu să mă asiste în asigurarea respectării drepturilor mele pe motiv că sunt cetățean român și nu străin. România consideră că cetățenii săi sunt resurse de gestionat, în timp ce străinii, pentru că au protecție din partea ambasadelor, au drepturi suplimentare.

Nu e vina strainilor, sa ne intelegem, ci a noastra pentru ca nu respectam drepturile concetatenilor nostrii, din motiv ca ei n-au nici o ambasada straina sa le garanteze echitatea in justitie.

Q: Ce se va întâmpla dacă nu se iau măsuri urgente?

Riscăm ca securitatea națională să fie exploatată, dacă nu de actori statali, de actori interni - țepari, scammers, hackeri, etc. Probabil breșele vor fi folosite de criminali, și sistemul judiciar va colapsa sub lipsa de încredere a populației.

Magistrații riscă să piardă toate beneficiile dacă nu dovedesc că le merită. Este puțin probabil ca sistemul să fie curățat fără un efort din partea societății civile, indiferent de culoarea politică.

Q: Ce pot face cetățenii pentru a forța schimbarea?

Mesajul meu este să se adreseze autorităților, chiar dacă ei nu câștigă ceva. Este un efort ce trebuie făcut pentru ca țara să își revină.

Altfel, măcar să solicite ajutorul Comisiei Europene, pentru că nu le-ar plăcea să fie șantajați cu faptul că au fost violați când au fost mai mici, sau eventual amenințați că copiii le vor fi răniți dacă fac ceva, pentru că aceste slăbiciuni reies din documentele făcute inadvertent publice de CSM sau de alte autorități.

Cetățenii simpli trebuie să ceară socoteală parlamentarilor, să depună plângeri la Comisie, să contacteze ambasadele țărilor lor pentru non-români.

Q: De ce continuați această luptă în ciuda represaliilor și riscurilor personale?

Este o datorie morală și patriotică pentru un om care vrea să aibă copii în România. Nu cred că România poate fi salvată în generația mea, însă găsesc mulțumire în a încerca să las țara mai bogată decât am primit-o la rândul meu.

Da, voi continua să raportez vulnerabilități, mi-am asumat inclusiv riscul să fiu supus unor eventuale represalii, deși am luat măsuri pentru a minimiza aceste riscuri și a putea transforma abuzurile instituționale în alți factori pe care să poată fi urmăriți pe plan internațional.

Q: Care este concluzia dvs despre starea actuală a securității cibernetice în România?

Realitatea este mult mai proastă decât percepția. Din păcate, instituțiile publice nu respectă nici regulile fundamentale de securitate cibernetică, au audituri de securitate doar pe hârtie, nu iau măsuri și sunt suspiciuni rezonabile că aceste comportamente se fac în concurs cu asistența instituțiilor publice și grupurilor de interese din acestea.

Lipsa de transparență ne face să fim mai mândri de situație decât realitatea de pe teren și ne face vulnerabili atacurilor la care noi nu ne așteptăm. Autoritățile și instituțiile de resort nu par a face față.

Q: De ce instituțiile nu învață din breșele repetate și nu iau măsuri preventive?

Instituțiile nu învață din breșe repetate pentru că datele justițiabililor sunt irelevante, iar riscurile la care se supun simplii cetățeni nu îi afectează pe ei.

Aproximativ 50% din probleme se rezolvă doar cosmetic, mai ales cele care implică efort minim din partea utilizatorilor - tocmai cele mai periculoase pentru că sunt ușoare de abuzat.

Nu există sancțiuni, ci doar beneficii - nu depui efort inițial, ci doar on demand. Când nu există sancțiuni, o breșă de date e doar o atribuție de lucru pe care o amâni în viitor, nu o criză.

Q: Care este capacitatea reală a autorităților de control precum DNSC și SRI, in opinia ta?

DNSC are capacități limitate în a gestiona, la fel ca instituțiile de forță precum SRI. Justiția are o putere serioasă și pare să se excludă de la anumite responsabilități prin prisma autorității și puterii reale pe care o deține ca a treia putere din stat.

DNSC e foarte operativ dar breasla din magistratură este puternică și de multe ori refractară la "ordine", așa că și DNSC are mâinile oarecum blocate, în opinia mea. Sunt zeci de mii de tichete la DNSC în ultimul an ce denotă că problemele sunt prea frecvente, însă pare că autoritățile refuză să se conformeze la solicitarea DNSC.

Evident, ce spun eu aici este bazat pe ce efecte vad si pe ce atributii stiu ca au entitatile, pentru ca nimeni nu imi da un raport mie. Insa cred ca este destul de clar cand jocul se schimba, iar unele raspunsuri denota o coordonare ce necesita formare in asa ceva.

Q: Care sunt cazurile care primesc atenție rapidă versus cele ignorate ani de zile?

Cazurile high-stakes implică de obicei interese politice sau de securitate națională arzătoare, unde influența instituțiilor de forță depășește influența autorității responsabile, care este astfel nevoită să ia măsurile de rigoare fără a se eschiva.

Până acum, UNBR, CECCAR, CSM și Monitorul Oficial au fost principalii care au fost refractari soluționării din motive de dezinteres, toate sunt puternice politic și au influență. Pe multe alte probleme au rezolvat ei, dar asta când a fost bunăvoință instituțională și la instituția ce gestiona vulnerabilitatea.

Q: De ce victimele nu sunt notificate după mai bine de un an de la descoperirea breșelor?

Victimele nu sunt notificate pentru că GDPR este un concept neluat în seamă în România. CSM nu a notificat încă avocații la mai bine de 11 luni de la incident, și probabil nu are de gând să notifice victimele din motive de imagine, chiar dacă legea îi obligă.

M-aș bucura să înceapă unii profesioniști litigii și să ceară despăgubiri, altfel nu se vor lua niciodată în serios problemele astea și își vor bate joc.

Q: Cum demonstrează remedierea de astăzi că autoritățile știau de problemă tot timpul?

Astăzi dimineață am re-notificat instituțiile, și pornit procedura de disclosure pentru existența vulnerabilității într-un mod care să nu implice risc pentru victime. Datorită presiunii publice, CSM a soluționat în timp record problema.

La ora 11:04 am confirmat soluționarea problemei, verificând de mai multe ori platforma pentru a mă asigura că nu există riscuri de divulgare a datelor sensibile.

Acum, datele sunt corect anonimizate, parola fiind înlocuită cu ***. Aceasta demonstrează că CSM știa de vulnerabilitate dar a menținut-o până când a fost forțat de presiunea publică.

Q: Cum utilizează profesioniștii aceste vulnerabilități în "trusa profesională"?

Sunt tot felul, de la furnizori de platforme de IT în principal care automatizează diverse în legătură cu relaționarea cu statul la simplii profesioniști ce se informează folosind funcții avansate neintenționate. Sunt zeci de persoane care cunosc problemele din România.

Profesioniștii care includ vulnerabilitățile în trusa profesională, pentru că sunt deseori utile și niciodată identificate când sunt abuzate activ.

Operatorii economici fac orice, de la spionaj industrial la obținerea de date ce ar costa altfel mai mulți.

Q: Cum este România urmărită la nivel european pentru aceste probleme?

UE este relativ limitată din a se implica în dreptul intern dar își poate cere respectate regulamentele mai ales când există element transfrontalier. Ambasadele au si ele interesul sa isi protejeze cetatenii. AM

Am trimis deja memorii catre Comisia Europeană, pentru că vreau să îi înțep unde nu se pot rezolva treburile pe combinații.

Q: Care este adevărata structură a puterii în spatele acestor probleme?

Statul este format din grupuri de interese, dintre care multe nu sunt interesate de bunăstarea României ca țară. Nu pentru că străinii ne fac rău, ci pentru că românii ne fac rău și profită de faptul că n-avem dumnezeu sau autorități.

Este clar ce riscuri sunt pentru securitatea națională, ținând cont cât de sensibile sunt datele accesibile prin aceste dosare și calitatea lor informativă ridicată, în multe situații.

Q: Ce ați investit personal în această luptă și care este impactul asupra dvs?

Am investit zeci de ore în a identifica, raporta, notifica, și apoi umbla să dau cu subsemnatul pentru a putea soluționa unele din problemele mai critice din această sferă.

Tot statul român îmi plătește bilete de avion să dau cu subsemnatul din vina unor personaje corupte. Din păcate, raportorii ca mine sunt în mare parte inutili, pentru că în lipsa presiunii din partea altor forțe care să oblige răspunderea factorilor ce au dus la breșe, ele sunt lipite cu gumă. De deranjat insa, deranjez maxim.

Q: Care sunt cele mai grave riscuri pentru victimele ale căror date sunt expuse?

Femei traficate, victime de viol, copii abuzați, oameni a căror probleme personale devin publice, firme a căror probleme financiare devin subiect de interes public.

Nu le-ar plăcea să fie șantajați cu faptul că au fost violați când au fost mai mici, sau eventual amenințați că copiii le vor fi răniți dacă fac ceva, pentru că aceste slăbiciuni reies din documentele făcute inadvertent publice de CSM sau de alte autorități.

Grupurile infracționale organizate pot utiliza aceste date pentru identificarea victimelor vulnerabile sau pentru protejarea propriilor operațiuni prin compromiterea martorilor.

Q: Ce așteptați de la presiunea internațională și ambasade?

Mă aștept ca Germania și Franța să pună presiune, chiar dacă tăcută, pe statul român. Voi notifica mai multe ambasade pentru a îi responsabiliza și pe ei, și a ridica șansa ca aceștia sunt la rândul lor constrânși să ia măsuri în favoarea propriilor cetățeni pentru a nu risca blam în propria-și țară.

Pe parcurs notific ambasadele în ordinea în care este responsabil să o fac pentru a reduce riscul ca chiar acestea să abuzeze de vulnerabilități sau de informațiile privind slăbiciunea sistemului actual. Toate ambasadele notificate până acum sunt în NATO, cu majoritatea din UE.

Documente relevante (original)

Aceasta lista va fi completata si cu rapoartele transmise catre autoritatile publice, odata ce se confirma solutionarea tuturor problemelor, astfel incat sa nu postez strict informatii redactate pentru a nu pune in pericol datele victimelor mai tare decat au fost deja.

Invit pe oricine vrea dovezi suplimentare cu privire la bresa sa faca cereri pe Legea 544/2001, sau sa ma contacteze pe email la [email protected], unde insa voi fi limitat in cantitatea de informatie ce o pot publica.

Mai mult, am inaintat deja comisiilor parlamentare relevante informatiile, si sper ca acestea sa apere dreptul cetatenilor.

Consider ca este rolul avocatilor sa protejeze partile pe care le reprezinta si viata lor privata.

Voi comunica cu autoritatile europene pentru a ma asigura ca puterea judecatoreasca este tinuta la acelasi standard de responsabilitate ca restul puterilor din stat.

Alte resurse - Discutii Publice: