Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023
BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.
RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
На 7 сентября 2023 года ЦЕККАР, румынская бухгалтерская ассоциация, столкнулась с серьезным нарушением безопасности, затронувшим всех экспертных бухгалтеров и уполномоченных бухгалтеров.
С опубликованием следующей информации:
Фамилия и имя: Определение индивидуальных членов.
Персональный числовой код (ПЧК): Уникальный идентификатор, содержащий конфиденциальные данные, такие как дата рождения и пол.
Адрес: Адреса как офиса, так и дома.
Дата и место рождения: Включая конкретную местность, добавляя к личной идентификации.
Мобильные номера телефонов: Некоторые примеры включают номера стационарных телефонов.
Почтовый адрес: отличается от домашнего или офисного адреса
Данные, связанные с регистрацией в CECCAR: Предназначен для публичного демонстра, но всё ещё чувствителен в этом контексте.
Персональный идентификационный номер (ПИН): Другой уникальный идентификатор.
Гражданство: Это может быть чувствительным вопросом, так как это может указывать на этническую принадлежность.
Больше
Уязвимость Сложность очень низкая
Уязвимость позволяла получать доступ к конфиденциальным данным напрямую через браузер.
Уведомление о попытке и официальный ответ
ДПО, а также официальный контактный адрес CECCAR, были немедленно уведомлены с подробностями, включая масштабы нарушения, шаги для воспроизведения проблемы и потенциальные решения.
Общее поведение, разделяемое Ассоциацией адвокатов (ОАА):
Мы отправили копию в национальное управление по защите данных, чтобы гарантировать надлежащее уведомление о нарушении. предыдущие сообщения, связанные с аналогичной уязвимостью, ведущей к утечке всех ПИН-кодов (CNP) юристов, зарегистрированных в ассоциации адвокатов, также не были сообщены.
Полный текст отчета можно просмотреть здесь (Скачать по электронной почте - PDF):
Уязвимость была отмечена как устранённая в результате нашей валидации 10 сентября, при этом техническая команда удалила личную идентифицирующую информацию из конечной точки.
Мы считаем, что это полностью устранило нарушение.
Период нарушения
В то время как мы не смогли проверить степень уязвимости, мы считаем, что нарушение существовало в течение некоторого времени не менее 6 месяцев, выявив уязвимую программу для доступны с 2021 года.
Оценка риска и детали CVSS
Уязвимость была оценена на основе критичности, воздействия и эксплойтоспособности с использованием метрики оценки CVSS. Оценка CVSS из:
CVSS Base Score:
Оценка CVSS Base Score: 7.5/10
Влияние подсчет: 3,6/10
Оценка уязвимости: 3.9/10
Оценка CVSS во времени: 7.2/10
Оценка воздействия CVSS: 7,2/10
Модифицированный подскоринг воздействия: 3,6/10
Общий балл CVSS: 7.2/10
Ответ от ANSPDCP
Национальный орган по защите данных не был уведомлен о нарушении в соответствии с требованиями законодательства.
3 января 2024 года ANSPDCP уведомил нас о том, что они не смогли обнаружить уязвимость, и запросил доказательства. Доказательства были предоставлены, включая все данные, которые были утечены CECCAR.
Мы считаем, что каждый должен знать, в какой степени обрабатываются его данные. Хотя мы поддерживаем обработку данных и сами являемся платформой, использующей аналитику для формирования наших продуктов, мы считаем, что это должно делаться ответственно и с надлежащим раскрытием информации.
Поведение CECCAR, который решил скрыть уязвимость вместо того, чтобы уведомить об этом, является доказательством злонамеренной деятельности с их стороны, а попытка скрыть свою неспособность защитить эту информацию.
С аналогичным нарушением, которое было скрыто под ковром ассоциацией адвокатов в Румынии, в связи с предыдущим уведомлением, мы решили уведомить людей сами, чтобы предотвратить сокрытие нарушения данных.
Проверьте, были ли вы затронуты нарушением данных в CECCAR:
Мы отправили электронные письма всем пострадавшим лицам с полным отчётом о нарушенных данных.
Однако, из-за отсутствия доверия и осведомленности (мы являемся частной организацией) о нарушении, мы решили создать инструмент, который поможет людям понять, что они подверглись нарушению безопасности.
ЦЕККАР - Нарушение данных
Нарушение данных, выявленное 7 сентября 2023 года, не было сообщено CECCAR, при этом более 50 000 человек имели общедоступную информацию.
— Стефан-Лучиано Делеану
ЦЕККАР - Нарушение данных
Обновление #1: 06.01.2024 00:48
Детали выпуска
На 7 сентября 2023 года ЦЕККАР, румынская бухгалтерская ассоциация, столкнулась с серьезным нарушением безопасности, затронувшим всех экспертных бухгалтеров и уполномоченных бухгалтеров.
С опубликованием следующей информации:
Уязвимость Сложность очень низкая
Уязвимость позволяла получать доступ к конфиденциальным данным напрямую через браузер.
Уведомление о попытке и официальный ответ
ДПО, а также официальный контактный адрес CECCAR, были немедленно уведомлены с подробностями, включая масштабы нарушения, шаги для воспроизведения проблемы и потенциальные решения.
Общее поведение, разделяемое Ассоциацией адвокатов (ОАА):
Мы отправили копию в национальное управление по защите данных, чтобы гарантировать надлежащее уведомление о нарушении. предыдущие сообщения, связанные с аналогичной уязвимостью, ведущей к утечке всех ПИН-кодов (CNP) юристов, зарегистрированных в ассоциации адвокатов, также не были сообщены.
Полный текст отчета можно просмотреть здесь (Скачать по электронной почте - PDF):
Ответ от ЦСЭПР ДПО
ДПО ЦСМР, от http://daikokuten.ro/, сообщили нам, что все необходимые меры будут приняты для надлежащего раскрытия уязвимости после устранения проблемы. информировать национальное агентство данных.
Шаги, предпринятые
Уязвимость была отмечена как устранённая в результате нашей валидации 10 сентября, при этом техническая команда удалила личную идентифицирующую информацию из конечной точки.
Мы считаем, что это полностью устранило нарушение.
Период нарушения
В то время как мы не смогли проверить степень уязвимости, мы считаем, что нарушение существовало в течение некоторого времени не менее 6 месяцев, выявив уязвимую программу для доступны с 2021 года.
Оценка риска и детали CVSS
Уязвимость была оценена на основе критичности, воздействия и эксплойтоспособности с использованием метрики оценки CVSS. Оценка CVSS из:
Ответ от ANSPDCP
Национальный орган по защите данных не был уведомлен о нарушении в соответствии с требованиями законодательства.
3 января 2024 года ANSPDCP уведомил нас о том, что они не смогли обнаружить уязвимость, и запросил доказательства. Доказательства были предоставлены, включая все данные, которые были утечены CECCAR.
INCORPO.RO - ОФИЦИАЛЬНЫЙ ВЫХОД
Мы считаем, что каждый должен знать, в какой степени обрабатываются его данные. Хотя мы поддерживаем обработку данных и сами являемся платформой, использующей аналитику для формирования наших продуктов, мы считаем, что это должно делаться ответственно и с надлежащим раскрытием информации.
Поведение CECCAR, который решил скрыть уязвимость вместо того, чтобы уведомить об этом, является доказательством злонамеренной деятельности с их стороны, а попытка скрыть свою неспособность защитить эту информацию.
С аналогичным нарушением, которое было скрыто под ковром ассоциацией адвокатов в Румынии, в связи с предыдущим уведомлением, мы решили уведомить людей сами, чтобы предотвратить сокрытие нарушения данных.
Проверьте, были ли вы затронуты нарушением данных в CECCAR:
Мы отправили электронные письма всем пострадавшим лицам с полным отчётом о нарушенных данных.
Однако, из-за отсутствия доверия и осведомленности (мы являемся частной организацией) о нарушении, мы решили создать инструмент, который поможет людям понять, что они подверглись нарушению безопасности.
На этой странице