Notificare publică privind încălcarea datelor și gestionarea incorectă a acesteia de către IFEP, descoperită și raportată în privat la 28 februarie 2023
Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023
BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.
RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.
On February 28, 2023, IFEP, a platform built in collaboration between Intra Connect SRL și UNBR (Uniunea Națională a Barourilor)
Având în vedere faptul că informațiile următoare au fost făcute publice:
Full Name: Identificarea tuturor avocaților înregistrați în cadrul unui barou din România.
Cod Numeric Personal (CNP): Un identificator unic care conține date sensibile, cum ar fi data nașterii, genul, județul de naștere etc.
Email de serviciu: Email-uri transmise de barou către avocați.
Număr de Legitimare: Număr de serie pentru legitimare, care ar fi putut fi dedus direct prin intermediul unui instrument de pe site-ul IFEP.
Dificultate de exploatare a vulnerabilității - Redusă
Vulnerabilitatea a afectat un endpoint accesibil public și indexat de Google, permițând atacatorilor să descarce o listă cu toți avocații, barourile corespunzătoare, adresele de serviciu și PIN-urile asociate.
Endpoint-ul:
Nu avea nicio măsură de autentificare sau autorizare
Nu ar fi trebuit să fie accesibil public, deoarece nu este utilizat în aplicația IFEP.
Era vizibil public și indexat de Google Search.
Pași întreprinși
Am raportat imediat faptul că un punct final privat a fost indexat de Google, precum și faptul că a permis acces neautorizat la informații private, la adresa de email a helpdesk-ului asociat IFEP.
Am verificat O remediere a fost implementată în decurs de o zi de la notificarea vulnerabilității..
Nu am primit nicio notificare din partea UNBR, IntraConnect S.R.L. sau a oricărei alte entități responsabile cu privire la etapele parcurse.
Nu am observat nicio dezvăluire oficială din partea UNBR cu privire la amploarea pierderii de date.
Data la care a fost descoperită vulnerabilitatea coincide (dar nu are legătură) cu data propunerii de construire a UNBR cloud pentru avocați, și este posibil ca vulnerabilitatea să nu fi fost dezvăluită pentru a preveni escaladarea unei discuții deja tensionate în interiorul profesiei.
❗
DEZVĂLUIRI:
Am descoperit vulnerabilitatea în timp ce cercetam procesorul de date, precum și managerul și proprietarul site-ului IFEP, în contextul lipsei de transparență discutate în legătură cu propunerea legislativă menționată anterior.
Spre deosebire de încălcarea CECCAR, aceasta este mai limitată în ceea ce privește furtul de identitate, datorită scopului redus al informațiilor afectate.
În plus, datorită naturii profesiilor juridice, credem că date precum numerele de identificare personală (CNP-uri) ar fi deja disponibile clienților. Totuși, din consens, credem că riscurile sunt ușor mai scăzute.
Deși această vulnerabilitate necesită un efort redus, deoarece implică accesarea unui punct final neautentificat, indexat public și anterior disponibil în mod deschis, exploatarea acesteia necesită interacțiunea manuală a unui atacator.
Vulnerabilitatea CECCAR raportată anterior a dus la divulgarea neautorizată a aproape tuturor datelor prezente pe un document de identificare personală, datele fiind trimise atât utilizatorilor normali, cât și celor rău intenționați ai aplicației.
Spre deosebire de breșa CECCAR, credem că este semnificativ mai puțin probabil ca aceasta să fi fost exploatată în mediul sălbatic.
Perioada de încălcare
Deși nu am putut valida amploarea vulnerabilității, credem că breșa a existat încă de la dezvoltarea inițială a IFEP, pe care am urmărit-o cel puțin până la Aprilie 2021.
Estimăm că vulnerabilitatea nu a fost descoperită, exploatată în mediul online, nici dezvăluită în cel puţin 2 ani.
Detalii despre evaluarea riscurilor și CVSS - 5,5/10
Vulnerabilitatea a fost evaluată în funcție de criticitate, impact și exploatare utilizând metrica de punctaj CVSS, cu unestimare CVSS Scora:
Scor CVSS de bază:7.5/10
Subscorul de impact:3.6/1o
Subscor de exploatabilitate: 3.9/10
Punctaj temporal CVSS:7.2/10
Scor de Mediu CVSS: 5,5/10
Subscor impact modificat: 1,8/10
Scor CVSS general: 5.5/10
Raport GDPR
Nu am reușit să găsim niciun raport deschis sau nicio dezvăluire pentru a respecta cerințele de dezvăluire GDPR.
În timp ce Regulamentul GDPR oferă o excludere de la divulgarea obligatorie în cazurile cu risc scăzut de încălcare a drepturilor personale, considerăm că este transparent să notificăm părțile implicate cu privire la riscuri și la măsurile întreprinse, cu atât mai mult într-un domeniu în care oamenii își protejează confidențialitatea datelor.
INCORPO.RO - LANSARE OFICIALĂ
Credem că toată lumea ar trebui să cunoască amploarea modului în care datele lor sunt prelucrate. Deși suntem pro-prelucrare și suntem noi înșine o platformă care folosește analize pentru a-și îmbunătăți produsele, credem că acest lucru ar trebui făcut responsabil și cu o divulgare adecvată.
Luând în considerare că nu s-a întreprins nicio acțiune pentru a notifica părțile implicate în aproape un an, iar recent a avut loc divulgarea scurgerii de date IFEP, considerăm că este rezonabil să li se dezvăluie acestor părți riscurile la care au fost expuse.
IFEP - Incidente de securitate a datelor
Notificare publică privind încălcarea datelor și gestionarea incorectă a acesteia de către IFEP, descoperită și raportată în privat la 28 februarie 2023
— Stefan-Lucian Deleanu
IFEP - Incidente de securitate a datelor
Update #1: 06.01.2024 00:48
Detalii lansare
On February 28, 2023, IFEP, a platform built in collaboration between Intra Connect SRL și UNBR (Uniunea Națională a Barourilor)
Având în vedere faptul că informațiile următoare au fost făcute publice:
Dificultate de exploatare a vulnerabilității - Redusă
Vulnerabilitatea a afectat un endpoint accesibil public și indexat de Google, permițând atacatorilor să descarce o listă cu toți avocații, barourile corespunzătoare, adresele de serviciu și PIN-urile asociate.
Endpoint-ul:
Pași întreprinși
Am raportat imediat faptul că un punct final privat a fost indexat de Google, precum și faptul că a permis acces neautorizat la informații private, la adresa de email a helpdesk-ului asociat IFEP.
Am verificat O remediere a fost implementată în decurs de o zi de la notificarea vulnerabilității..
Nu am primit nicio notificare din partea UNBR, IntraConnect S.R.L. sau a oricărei alte entități responsabile cu privire la etapele parcurse.
Nu am observat nicio dezvăluire oficială din partea UNBR cu privire la amploarea pierderii de date.
Data la care a fost descoperită vulnerabilitatea coincide (dar nu are legătură) cu data propunerii de construire a UNBR cloud pentru avocați, și este posibil ca vulnerabilitatea să nu fi fost dezvăluită pentru a preveni escaladarea unei discuții deja tensionate în interiorul profesiei.
Am descoperit vulnerabilitatea în timp ce cercetam procesorul de date, precum și managerul și proprietarul site-ului IFEP, în contextul lipsei de transparență discutate în legătură cu propunerea legislativă menționată anterior.
Similare cu lansarea noastră anterioară a identificarea, raportarea și neraportarea încălcării privind baza de date a contabililor CECCAR, astăzi prezentăm un caz similar, dar mai restrictiv, care îi afectează pe toți avocații români.
Spre deosebire de încălcarea CECCAR, aceasta este mai limitată în ceea ce privește furtul de identitate, datorită scopului redus al informațiilor afectate.
În plus, datorită naturii profesiilor juridice, credem că date precum numerele de identificare personală (CNP-uri) ar fi deja disponibile clienților. Totuși, din consens, credem că riscurile sunt ușor mai scăzute.
Deși această vulnerabilitate necesită un efort redus, deoarece implică accesarea unui punct final neautentificat, indexat public și anterior disponibil în mod deschis, exploatarea acesteia necesită interacțiunea manuală a unui atacator.
Vulnerabilitatea CECCAR raportată anterior a dus la divulgarea neautorizată a aproape tuturor datelor prezente pe un document de identificare personală, datele fiind trimise atât utilizatorilor normali, cât și celor rău intenționați ai aplicației.
Spre deosebire de breșa CECCAR, credem că este semnificativ mai puțin probabil ca aceasta să fi fost exploatată în mediul sălbatic.
Perioada de încălcare
Deși nu am putut valida amploarea vulnerabilității, credem că breșa a existat încă de la dezvoltarea inițială a IFEP, pe care am urmărit-o cel puțin până la Aprilie 2021.
Estimăm că vulnerabilitatea nu a fost descoperită, exploatată în mediul online, nici dezvăluită în cel puţin 2 ani.
Detalii despre evaluarea riscurilor și CVSS - 5,5/10
Vulnerabilitatea a fost evaluată în funcție de criticitate, impact și exploatare utilizând metrica de punctaj CVSS, cu unestimare CVSS Scora:
Raport GDPR
Nu am reușit să găsim niciun raport deschis sau nicio dezvăluire pentru a respecta cerințele de dezvăluire GDPR.
În timp ce Regulamentul GDPR oferă o excludere de la divulgarea obligatorie în cazurile cu risc scăzut de încălcare a drepturilor personale, considerăm că este transparent să notificăm părțile implicate cu privire la riscuri și la măsurile întreprinse, cu atât mai mult într-un domeniu în care oamenii își protejează confidențialitatea datelor.
INCORPO.RO - LANSARE OFICIALĂ
Credem că toată lumea ar trebui să cunoască amploarea modului în care datele lor sunt prelucrate. Deși suntem pro-prelucrare și suntem noi înșine o platformă care folosește analize pentru a-și îmbunătăți produsele, credem că acest lucru ar trebui făcut responsabil și cu o divulgare adecvată.
Luând în considerare că nu s-a întreprins nicio acțiune pentru a notifica părțile implicate în aproape un an, iar recent a avut loc divulgarea scurgerii de date IFEP, considerăm că este rezonabil să li se dezvăluie acestor părți riscurile la care au fost expuse.
În această pagină