Утечка данных - Национальное управление реестра торговли (ОНРТ)
Детали утечки данных, которая затронула ONRC V2.0, влияющей на более чем 1 миллион компаний в Румынии в меньшей степени, а также на всех физических лиц, находящихся в состоянии банкротства в Румынии, и пользователей, которые оплатили услуги через платформу в первые 2 дня после запуска (~3000 профессионалов).
Запрос данных из ONRC, из-за проблем с внедрением платформы myportal.onrc.ro
Утечка данных - Национальное управление реестра торговли (ОНРТ)
Publicație Oficială: ENTRYRISE S.R.L
Scop: Notificarea societății civile cu privire la existența informațiilor în spațiul public
Momente cheie:
- Identificare vulnerabilități: 26 Iulie 2024 - 27 Iulie 2024
- Tentativa eșuată de soluționare și re-lansare: 27.07.2024
- Data formulare critici tentativa: 21:38 PM, 27.07.2024
- Soluționare efectivă a problemelor: 30.07.2024
Detalii Breșa:
- [Momentan confidențiale]
Riscuri:
- Furt de identitate (Peste 3.000 persoane vulnerabile, toate persoanele care au efectuat plăți pe platforma până în 28.07.2024 + Toate persoanele fizice care au fost vreodată insolvențe)
- Risc de profilare automata pe informații cu privire la situația financiară a persoanelor care au fost vreodata insolvente in Romania.
- Divulgare informații nedestinate publicității cu privire la toate societățile comerciale, existența contracte notificate spre ONRC.
- Compromiterea confidențialității și integrității unui set restrâns de date referitoare la toate societatile din Romania nedestinate publicității largi, cu impact redus asupra secretului comercial și avantajului competitiv.
- Divulgarea tuturor părților în contractele de închiriere, comodat, vânzare notificate spre ONRC.
🦜
Этот документ был изначально написан на румынском языкеПереводы на другие языки выполняются автоматически и не гарантируют эквивалентность.
📆
Мы ожидаем передачи всей информации до 04.08.2024в случае отсутствия запроса об отказе, полученного от DNSC / ONRC, которые были уведомлены о намерении публичного сообщения о уязвимостях.
Видеоклип Подробности инцидента:
Платформа MyPortal Национального офиса регистрации торговли (ONRC), предназначенная для упрощения цифрового взаимодействия между предпринимателями и учреждением, продемонстрировала ряд критических уязвимостей, которые подвергли риску личные данные тысяч пользователей, а также более 1 миллиона компаний.
Помимо очевидных технических проблем, этот инцидент выявляет глубокие недостатки в том, как государственные учреждения Румынии подходят к кибербезопасности, и вызывает серьезные вопросы о ответственности и прозрачности властей в управлении такими ситуациями.
Система, построенная на слабых основах
Наше расследование показало, что платформа MyPortal была построена на ненадежных основах, игнорируя элементарные принципы безопасности и подвергая чувствительные данные пользователей неприемлемым рискам.
Отсутствие аутентификации и контроля доступа к расчетным записям:
Любой может получить доступ к расчетным записям других пользователей, просто изменив URL, без необходимости аутентификации. Эти расчетные записи содержат конфиденциальные данные, такие как ИНН и адреса.
Предоставление ИНН несостоятельных лиц:
Конечная точка /bpi-published-persons/pf dezvăluie CNP-urile tuturor persoanelor fizice în stare de insolvență, alături de nume și prenume, la o simplă interogare cu o vocală.
ПРИМЕЧАНИЕ: Имена были раскрыты, поскольку это была информация, предназначенная для публикации.
Чрезмерное раскрытие информации через функцию "ИНФОРМАЦИЯ - СТАДИЯ ДЕЛА":
Использование этой функции раскрывает широкий спектр потенциально конфиденциальной информации о компаниях и индивидуальных предпринимателях, включая контактные данные, финансовую информацию и детали о бэкэнд-инфраструктуре.
Проблема продолжается через несколько конечных точек и раскрывает:
Контактные данные представителей компаний, предоставленные в запросах к ОНКР
Информация о компаниях или индивидуальных предпринимателях, включая виды деятельности, количество долей, регистратора, срок действия компании, статус банкротства и т.д.
Контактный телефон, номер факса, возможный указанный электронный адрес в ONRC,
Все заявленные пункты работы в ONRC,
вся информация о аренде помещения, вступлении в силу и истечении срока действия (срок) аренды, арендодатель (включая физическое лицо),
детали инфраструктуры бэк-офиса, детали поданных документов, детали вовлеченных регистраторов (клон BERC), детали актов и их степень классификации (?)
0:00
/0:58
Раскрываемые данные - В данном случае данные собственной компании, следовательно, это законное раскрытие, касающееся исключительно наших данных.
Получение документов без оплаты из-за отсутствия валидации:
Система позволяет генерировать документы, такие как сертификаты и бюллетени по процедурам банкротства, без проверки оплаты, что позволяет получить доступ до фактической оплаты услуг.
0:00
/0:29
Получение истории компании / InfoCert даже без оплаты - Уязвимость myportal.ONRC.ro
Прием пустых или неуместных документов:
Платформа допускает загрузку пустых или неуместных PDF-документов, подписанных электронной подписью, вместо запрашиваемых, автоматически одобряя их без надлежащей проверки. Единственная проверка проводилась по названию загруженного файла, которое должно было соответствовать названию сгенерированного документа.
Эти уязвимости, многократно продемонстрированные с помощью скриншотов, демонстрационных файлов и видеозаписей, которые мы предоставили властям, являются симптомом системной проблемы в разработке и управлении государственными цифровыми платформами.
0:00
/0:35
Отсутствует подтверждение для того, какой документ подается в заявлении. Подана другая резервная заявка на название вместо заявления.
Риски и последствия: За пределами технических аспектов
Помимо чисто технических аспектов, уязвимости платформы MyPortal имеют глубокие последствия для безопасности и доверия к цифровым услугам, предоставляемым государством.
Раскрытие личных данных облегчает совершение преступлений, таких как кража личных данных, мошенничество и злоупотребление информацией в незаконных целях.
Более того, такие инциденты подрывают доверие граждан и бизнеса к способности государственных учреждений защищать их данные и предоставлять безопасные цифровые услуги.
Наконец, инвестиции в размере 5.500.000 RON на внедрение автоматизированного тестирования и аудит безопасности платформы, похоже, не приведут к эффективному обслуживанию:
Программа государственных закупок для реализации проекта ONRC v2.0Соглашения об уровне обслуживания для платформы ONRC v2.0 - Тестирование / аудит
Ответ властей: Быстро и эффективно
Хотя мы быстро сообщили о выявленных уязвимостях в ONRC, Национальную дирекцию кибербезопасности (DNSC) и Национальный орган по защите данных (ANSPDCP), ответ властей был быстрым, но изначально неэффективным.
Несмотря на временное закрытие платформы для устранения неполадок на несколько часов в надежде решить проблемы, проблемы с безопасностью продолжали существовать, и потребовалось видео, в котором я резко критиковал ответ, чтобы вызвать серьезную реакцию:
Например, далее, после первой попытки решения, ONRC просто убрал синюю кнопку загрузки, не заблокировав API-эндпоинт, который фактически загружает файл:
Можно изменить номер расчетной записи в API, и уязвимость все еще сохраняется.
Видеоролик был создан с целью привлечь внимание и подчеркнуть необходимость решительных и прозрачных мер со стороны властей.
Сравнительная скорость ответа в других CVD, о которых мы сообщали, ONRC и DNSC двигались гораздо быстрее, что, по нашему мнению, было вызвано отчетностью перед несколькими ключевыми учреждениями, которые таким образом создали сильный сигнал о серьезности проблем.
Срок устранения уязвимостей составил примерно 2-3 дня.
Призыв к действию и ответственности
Пришло время румынским властям отнестись к кибербезопасности с той серьезностью, которую она заслуживает. За пределами технических аспектов необходима фундаментальная смена мышления и обеспечение ответственности на всех уровнях.
Государственные учреждения должны придавать абсолютное значение безопасности персональных данных и выделять необходимые ресурсы для разработки и поддержания надежных и безопасных цифровых платформ.
Кроме того, важна прозрачная и проактивная коммуникация с общественностью в случае инцидентов безопасности, чтобы поддерживать доверие граждан к государственным цифровым услугам.
Помимо технических аспектов, необходима также законодательная реформа, которая обеспечит четкую структуру ответственности и санкций для учреждений, не справляющихся с защитой данных граждан.
Только с помощью жестких мер и реальных последствий для тех, кто игнорирует кибербезопасность, мы можем надеяться на реальное изменение подхода. Если виновный государственный служащий не будет наказан, единственным, кто потеряет, будет государственное учреждение, и, следовательно, гражданин, который теперь вынужден терпеть более высокие налоги, проблема не будет решена. Необходимо внедрить средства постфактумного анализа случаев и применение соответствующих санкций/мер для предотвращения повторения тех же ошибок.
Выводы: Уроки, которые необходимо усвоить
Обнаруженные уязвимости на платформе MyPortal ОНРК являются симптомом более серьезной проблемы - пренебрежения кибербезопасностью в государственных цифровых услугах.
Надеемся, что этот инцидент послужит сигналом для румынских властей, подчеркивая необходимость проактивного, ответственного и прозрачного подхода в области информационной безопасности.
Необходима смена парадигмы в том, как государственные учреждения относятся к безопасности данных граждан. Только приоритетизируя кибербезопасность, адекватно распределяя ресурсы, обеспечивая ответственность и поддерживая прозрачное общение с общественностью, мы можем надеяться на восстановление доверия к государственным цифровым услугам и создание безопасного онлайн-пространства для всех граждан Румынии.
Как компания, мы обязаны привлекать к ответственности учреждения, которые нас представляют, и обеспечивать защиту наших прав в цифровую эпоху с должной тщательностью.
Мы надеемся, что детальное изложение этих уязвимостей и подчеркивание их последствий будут способствовать конструктивному диалогу и приведут к конкретным действиям по улучшению кибербезопасности в Румынии.
Эти материалы лежат в основе нашего подхода, и мы надеемся, что они послужат отправной точкой для честного и продуктивного обсуждения кибербезопасности в Румынии. Пришло время для действий, прозрачности и ответственности - и это начинается с признания проблем и твердого обязательства их решить.
Детали государственных закупок:
Закупка услуг автоматизированного тестирования + тестирование безопасностиАудит технических закупок по внедрениюРеализация IT-платформы для обработки данных на уровне ONRC
Советы и Рекомендации, Мнения:
Есть ли у ONRC проблемы перед запуском платформы?
Я считаю, что да. В соответствии с условиями и положениями, которые я получил непосредственно из исходного кода платформы и восстановил в LaTeX (оригинальный текст, отформатированный ClaudeAI). Вся восстановленная документация находится в разделе прикрепленных документов.
ДИН Условия и положения для обеспечения онлайн-доступа к услугам BPI«данные, извлеченные из исходного кода (я не видел, присутствует ли это и активно ли на платформе, но это доказывает, что проблемы платформы были известны)»
ОНРЦ не несет ответственности за утечки данныхОНРК не отвечает, если ваш компьютер заражен вирусом.
Кроме того, ONRC заключил контракты с двумя тестирующими организациями, второй на меньшую сумму, 50.000 RON, обозначенную как "технический аудит", от компании, занимающейся пентестингом. Знает ли ONRC, что первая услуга была выполнена плохо?
Как сохранить свои данные в безопасности?
Как только ваши данные становятся общедоступными, количество фишинговых атак и атак типа "spear phishing", которые вы получаете, увеличивается. Поэтому используйте следующие шаги, чтобы определить, является ли что-то попыткой фишинга:
Компенсации и санкции государства:
Личные данные защищены как GDPR, так и национальным законодательством. Поскольку возможно, что ваши личные данные могли быть доступны или даже доступны (в некоторых случаях) третьими лицами по вине платформы ONRC, Я рекомендую обсудить это с адвокатом, потому что, на мой взгляд (не юриста), можно привлечь к гражданской ответственности за деликтную вину:
Когда я отправил жалобу в ONRC, я не ожидал многого. Предыдущий опыт общения с государственными учреждениями заставил меня быть осторожным в своих ожиданиях. Однако на этот раз я был приятно удивлён.
ОНРК ответил быстро и, к моему удивлению, очень профессионально. Они напрямую подошли к обозначенным проблемам, подтвердив, что провели проверки и приняли меры. Более того, они отметили, что постоянно мониторят портал и открыты для обратной связи.
Больше всего меня впечатлил тон ответа - уважительный и очень достойный. Редко увидишь, чтобы государственное учреждение благодарило за отзывы, касающиеся серьезных проблем, и проявляло настоящую заботу о совершенствовании услуг.
Хотя один хороший ответ не решает всех проблем системы, это обнадеживающий знак. Это показывает, что существует потенциал для лучшего общения между учреждениями и гражданами. Это многообещающее начало, и я надеюсь увидеть больше подобных примеров в будущем.
Утечка данных - Национальное управление реестра торговли (ОНРТ)
Детали утечки данных, которая затронула ONRC V2.0, влияющей на более чем 1 миллион компаний в Румынии в меньшей степени, а также на всех физических лиц, находящихся в состоянии банкротства в Румынии, и пользователей, которые оплатили услуги через платформу в первые 2 дня после запуска (~3000 профессионалов).
— Стефан-Лучиано Делеану
Утечка данных - Национальное управление реестра торговли (ОНРТ)
Видеоклип Подробности инцидента:
Платформа MyPortal Национального офиса регистрации торговли (ONRC), предназначенная для упрощения цифрового взаимодействия между предпринимателями и учреждением, продемонстрировала ряд критических уязвимостей, которые подвергли риску личные данные тысяч пользователей, а также более 1 миллиона компаний.
Помимо очевидных технических проблем, этот инцидент выявляет глубокие недостатки в том, как государственные учреждения Румынии подходят к кибербезопасности, и вызывает серьезные вопросы о ответственности и прозрачности властей в управлении такими ситуациями.
Система, построенная на слабых основах
Наше расследование показало, что платформа MyPortal была построена на ненадежных основах, игнорируя элементарные принципы безопасности и подвергая чувствительные данные пользователей неприемлемым рискам.
Отсутствие аутентификации и контроля доступа к расчетным записям:
Любой может получить доступ к расчетным записям других пользователей, просто изменив URL, без необходимости аутентификации. Эти расчетные записи содержат конфиденциальные данные, такие как ИНН и адреса.
Предоставление ИНН несостоятельных лиц:
Конечная точка
/bpi-published-persons/pfdezvăluie CNP-urile tuturor persoanelor fizice în stare de insolvență, alături de nume și prenume, la o simplă interogare cu o vocală.Чрезмерное раскрытие информации через функцию "ИНФОРМАЦИЯ - СТАДИЯ ДЕЛА":
Использование этой функции раскрывает широкий спектр потенциально конфиденциальной информации о компаниях и индивидуальных предпринимателях, включая контактные данные, финансовую информацию и детали о бэкэнд-инфраструктуре.
Проблема продолжается через несколько конечных точек и раскрывает:
Раскрываемые данные - В данном случае данные собственной компании, следовательно, это законное раскрытие, касающееся исключительно наших данных.
Получение документов без оплаты из-за отсутствия валидации:
Система позволяет генерировать документы, такие как сертификаты и бюллетени по процедурам банкротства, без проверки оплаты, что позволяет получить доступ до фактической оплаты услуг.
Получение истории компании / InfoCert даже без оплаты - Уязвимость myportal.ONRC.ro
Прием пустых или неуместных документов:
Платформа допускает загрузку пустых или неуместных PDF-документов, подписанных электронной подписью, вместо запрашиваемых, автоматически одобряя их без надлежащей проверки. Единственная проверка проводилась по названию загруженного файла, которое должно было соответствовать названию сгенерированного документа.
Эти уязвимости, многократно продемонстрированные с помощью скриншотов, демонстрационных файлов и видеозаписей, которые мы предоставили властям, являются симптомом системной проблемы в разработке и управлении государственными цифровыми платформами.
Отсутствует подтверждение для того, какой документ подается в заявлении. Подана другая резервная заявка на название вместо заявления.
Риски и последствия: За пределами технических аспектов
Помимо чисто технических аспектов, уязвимости платформы MyPortal имеют глубокие последствия для безопасности и доверия к цифровым услугам, предоставляемым государством.
Раскрытие личных данных облегчает совершение преступлений, таких как кража личных данных, мошенничество и злоупотребление информацией в незаконных целях.
Более того, такие инциденты подрывают доверие граждан и бизнеса к способности государственных учреждений защищать их данные и предоставлять безопасные цифровые услуги.
Наконец, инвестиции в размере 5.500.000 RON на внедрение автоматизированного тестирования и аудит безопасности платформы, похоже, не приведут к эффективному обслуживанию:
Ответ властей: Быстро и эффективно
Хотя мы быстро сообщили о выявленных уязвимостях в ONRC, Национальную дирекцию кибербезопасности (DNSC) и Национальный орган по защите данных (ANSPDCP), ответ властей был быстрым, но изначально неэффективным.
Несмотря на временное закрытие платформы для устранения неполадок на несколько часов в надежде решить проблемы, проблемы с безопасностью продолжали существовать, и потребовалось видео, в котором я резко критиковал ответ, чтобы вызвать серьезную реакцию:
Например, далее, после первой попытки решения, ONRC просто убрал синюю кнопку загрузки, не заблокировав API-эндпоинт, который фактически загружает файл:
Видеоролик был создан с целью привлечь внимание и подчеркнуть необходимость решительных и прозрачных мер со стороны властей.
Сравнительная скорость ответа в других CVD, о которых мы сообщали, ONRC и DNSC двигались гораздо быстрее, что, по нашему мнению, было вызвано отчетностью перед несколькими ключевыми учреждениями, которые таким образом создали сильный сигнал о серьезности проблем.
Срок устранения уязвимостей составил примерно 2-3 дня.
Призыв к действию и ответственности
Пришло время румынским властям отнестись к кибербезопасности с той серьезностью, которую она заслуживает. За пределами технических аспектов необходима фундаментальная смена мышления и обеспечение ответственности на всех уровнях.
Государственные учреждения должны придавать абсолютное значение безопасности персональных данных и выделять необходимые ресурсы для разработки и поддержания надежных и безопасных цифровых платформ.
Кроме того, важна прозрачная и проактивная коммуникация с общественностью в случае инцидентов безопасности, чтобы поддерживать доверие граждан к государственным цифровым услугам.
Помимо технических аспектов, необходима также законодательная реформа, которая обеспечит четкую структуру ответственности и санкций для учреждений, не справляющихся с защитой данных граждан.
Только с помощью жестких мер и реальных последствий для тех, кто игнорирует кибербезопасность, мы можем надеяться на реальное изменение подхода. Если виновный государственный служащий не будет наказан, единственным, кто потеряет, будет государственное учреждение, и, следовательно, гражданин, который теперь вынужден терпеть более высокие налоги, проблема не будет решена. Необходимо внедрить средства постфактумного анализа случаев и применение соответствующих санкций/мер для предотвращения повторения тех же ошибок.
Выводы: Уроки, которые необходимо усвоить
Обнаруженные уязвимости на платформе MyPortal ОНРК являются симптомом более серьезной проблемы - пренебрежения кибербезопасностью в государственных цифровых услугах.
Надеемся, что этот инцидент послужит сигналом для румынских властей, подчеркивая необходимость проактивного, ответственного и прозрачного подхода в области информационной безопасности.
Необходима смена парадигмы в том, как государственные учреждения относятся к безопасности данных граждан. Только приоритетизируя кибербезопасность, адекватно распределяя ресурсы, обеспечивая ответственность и поддерживая прозрачное общение с общественностью, мы можем надеяться на восстановление доверия к государственным цифровым услугам и создание безопасного онлайн-пространства для всех граждан Румынии.
Как компания, мы обязаны привлекать к ответственности учреждения, которые нас представляют, и обеспечивать защиту наших прав в цифровую эпоху с должной тщательностью.
Мы надеемся, что детальное изложение этих уязвимостей и подчеркивание их последствий будут способствовать конструктивному диалогу и приведут к конкретным действиям по улучшению кибербезопасности в Румынии.
Прикрепленные документы:
Уведомление о проблеме
Детали государственной закупки платформы (30.000.000 EUR +)
Эти материалы лежат в основе нашего подхода, и мы надеемся, что они послужат отправной точкой для честного и продуктивного обсуждения кибербезопасности в Румынии. Пришло время для действий, прозрачности и ответственности - и это начинается с признания проблем и твердого обязательства их решить.
Детали государственных закупок:
Советы и Рекомендации, Мнения:
Есть ли у ONRC проблемы перед запуском платформы?
Я считаю, что да. В соответствии с условиями и положениями, которые я получил непосредственно из исходного кода платформы и восстановил в LaTeX (оригинальный текст, отформатированный ClaudeAI). Вся восстановленная документация находится в разделе прикрепленных документов.
ДИН Условия и положения для обеспечения онлайн-доступа к услугам BPI«данные, извлеченные из исходного кода (я не видел, присутствует ли это и активно ли на платформе, но это доказывает, что проблемы платформы были известны)»
Кроме того, ONRC заключил контракты с двумя тестирующими организациями, второй на меньшую сумму, 50.000 RON, обозначенную как "технический аудит", от компании, занимающейся пентестингом. Знает ли ONRC, что первая услуга была выполнена плохо?
Как сохранить свои данные в безопасности?
Как только ваши данные становятся общедоступными, количество фишинговых атак и атак типа "spear phishing", которые вы получаете, увеличивается. Поэтому используйте следующие шаги, чтобы определить, является ли что-то попыткой фишинга:
Компенсации и санкции государства:
Личные данные защищены как GDPR, так и национальным законодательством. Поскольку возможно, что ваши личные данные могли быть доступны или даже доступны (в некоторых случаях) третьими лицами по вине платформы ONRC, Я рекомендую обсудить это с адвокатом, потому что, на мой взгляд (не юриста), можно привлечь к гражданской ответственности за деликтную вину:
Обновления:
Обновление #1: Удивительно хороший ответ от ONRC
Когда я отправил жалобу в ONRC, я не ожидал многого. Предыдущий опыт общения с государственными учреждениями заставил меня быть осторожным в своих ожиданиях. Однако на этот раз я был приятно удивлён.
ОНРК ответил быстро и, к моему удивлению, очень профессионально. Они напрямую подошли к обозначенным проблемам, подтвердив, что провели проверки и приняли меры. Более того, они отметили, что постоянно мониторят портал и открыты для обратной связи.
Больше всего меня впечатлил тон ответа - уважительный и очень достойный. Редко увидишь, чтобы государственное учреждение благодарило за отзывы, касающиеся серьезных проблем, и проявляло настоящую заботу о совершенствовании услуг.
Хотя один хороший ответ не решает всех проблем системы, это обнадеживающий знак. Это показывает, что существует потенциал для лучшего общения между учреждениями и гражданами. Это многообещающее начало, и я надеюсь увидеть больше подобных примеров в будущем.
Обновление №2 - Ответ Министра исследований, инноваций и цифровизации
Еще один обнадеживающий ответ поступил позже от MCID, который начал участвовать в решении проблем платформы MyPortal.ONRC.ro.
Скачиваемые файлы (пресс-релиз):
На этой странице