Официальное уведомление о нарушении данных и неправильном обращении с нарушением со стороны IFEP, обнаруженном и сообщенном частным образом 28 февраля 2023 года
Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023
BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.
RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.
Номер легитимации: Серийный номер для легитимации, который можно было получить напрямую с помощью инструмента на сайте IFEP.
Уязвимость Сложность - Низкая
Уязвимость затронула открыто доступный и проиндексированный Google конечный пункт, что позволяло злоумышленникам скачивать список всех юристов, соответствующие им адвокатские палаты, рабочие адреса и связанные с ними персональные идентификационные номера (PIN).
Конечная точка:
Не имел никаких мер аутентификации или авторизации
Это не должно было быть общедоступным, так как оно не используется в приложении IFEP.
Было публично видно и проиндексировано в Google Поиске.
Шаги, которые были предприняты
Мы немедленно сообщили о том, что частный конечный пункт был проиндексирован Google, а также о том, что он позволяет несанкционированный доступ к частной информации, в службу поддержки, связанную с IFEP.
Мы проверили В течение дня после получения уведомления об уязвимости было реализовано исправление..
Мы не получили никаких уведомлений от UNBR, IntraConnect S.R.L. или от любого другого ответственного лица с подробным описанием предпринятых шагов.
Мы не заметили никаких официальных заявлений от UNBR о масштабах потери данных.
Дата обнаружения уязвимости совпадает (но не связана) с датой предложения о строительстве Облачная платформа для юристов, и возможно, уязвимость не была раскрыта, чтобы не обострять и без того напряжённую тему обсуждения внутри профессии.
❗
Раскрытие:
Мы обнаружили уязвимость при исследовании процессора данных, а также менеджера и владельца сайта IFEP в контексте отсутствия прозрачности, обсуждаемого в отношении вышеупомянутого законодательного предложения.
В отличие от нарушения данных CECCAR, это нарушение более ограниченное в плане кражи личности из-за меньшего объема затронутой информации.
Кроме того, учитывая специфику юридической профессии, мы считаем, что такие данные, как личные идентификационные номера (ЛИН), вероятно, уже доступны клиентам. Однако, по общему согласию, мы считаем, что риски несколько ниже.
Поскольку это уязвимость также требует небольших усилий, поскольку она связана с доступом к общедоступному, ранее открытому для доступа без аутентификации конечному пункту, для эксплуатации этой уязвимости требуется ручное взаимодействие со стороны злоумышленника.
Уязвимость CECCAR, о которой ранее сообщалось, приводила к несанкционированному раскрытию данных, содержащихся в документе, удостоверяющем личность, почти во всех случаях, при этом данные отправлялись как обычным, так и злонамеренным пользователям приложения.
В отличие от нарушения CECCAR, мы считаем, что это нарушение вряд ли было использовано в дикой природе.
Период нарушения
Поскольку мы не смогли подтвердить масштабы уязвимости, мы полагаем, что нарушение существовало с самого начала разработки IFEP, которое мы проследили по крайней мере Апрель 2021 года.
Мы оцениваем, что уязвимость не была обнаружена, использована в дикой природе или раскрыта в течение по крайней мере двух лет.
Оценка риска и детали CVSS - 5,5/10
Уязвимость была оценена на основе критичности, воздействия и эксплойтоспособности с использованием метрики оценки CVSS.Оценка CVSSиз:
CVSS Base Score:
Оценка базового уровня CVSS:7.5/10
Подвыписка:3,6/10
Оценка уязвимости: 3.9/10
CVSS Временной балл:7.2/10
Оценка воздействия CVSS: 5,5/10
Измененный суббалл влияния: 1,8/10
Общий балл CVSS: 5.5/10
Отчет о соответствии GDPR
Мы не смогли найти каких-либо открытых отчетов или раскрытий, чтобы соответствовать требованиям GDPR к раскрытию информации.
В то время как Регламент GDPR предусматривает исключение из обязательного раскрытия информации в случаях низкой вероятности нарушения личных прав, мы считаем, что прозрачно уведомлять вовлеченные стороны о рисках и предпринимаемых шагах, тем более в области, где люди заботятся о конфиденциальности своих данных.
INCORPO.RO - ОФИЦИАЛЬНЫЙ ВЫХОД
Мы считаем, что каждый должен знать, в какой степени обрабатываются его данные. Хотя мы поддерживаем обработку данных и сами являемся платформой, использующей аналитику для формирования наших продуктов, мы считаем, что это должно делаться ответственно и с надлежащим раскрытием информации.
Без каких-либо действий по уведомлению заинтересованных сторон в течение почти года и недавнего раскрытия утечки данных IFEP, мы считаем, что разумно уведомить заинтересованные стороны о рисках, которым они подвергались.
Нарушение данных
Официальное уведомление о нарушении данных и неправильном обращении с нарушением со стороны IFEP, обнаруженном и сообщенном частным образом 28 февраля 2023 года
— Стефан-Лучиано Делеану
Нарушение данных
Обновление #1: 06.01.2024 00:48
Детали выпуска
28 февраля 2023 года, IFEP, платформа, созданная в сотрудничестве между Интра Коннект СРЛ Я и UNBR (Национальная адвокатская ассоциация)
С опубликованием следующей информации:
Уязвимость Сложность - Низкая
Уязвимость затронула открыто доступный и проиндексированный Google конечный пункт, что позволяло злоумышленникам скачивать список всех юристов, соответствующие им адвокатские палаты, рабочие адреса и связанные с ними персональные идентификационные номера (PIN).
Конечная точка:
Шаги, которые были предприняты
Мы немедленно сообщили о том, что частный конечный пункт был проиндексирован Google, а также о том, что он позволяет несанкционированный доступ к частной информации, в службу поддержки, связанную с IFEP.
Мы проверили В течение дня после получения уведомления об уязвимости было реализовано исправление..
Мы не получили никаких уведомлений от UNBR, IntraConnect S.R.L. или от любого другого ответственного лица с подробным описанием предпринятых шагов.
Мы не заметили никаких официальных заявлений от UNBR о масштабах потери данных.
Дата обнаружения уязвимости совпадает (но не связана) с датой предложения о строительстве Облачная платформа для юристов, и возможно, уязвимость не была раскрыта, чтобы не обострять и без того напряжённую тему обсуждения внутри профессии.
Мы обнаружили уязвимость при исследовании процессора данных, а также менеджера и владельца сайта IFEP в контексте отсутствия прозрачности, обсуждаемого в отношении вышеупомянутого законодательного предложения.
Аналогично нашему предыдущему релизу идентификация, сообщение и несообщение о нарушении в отношении базы данных бухгалтеров CECCAR, сегодня мы представляем похожий, но более ограниченный случай, затрагивающий всех румынских юристов.
В отличие от нарушения данных CECCAR, это нарушение более ограниченное в плане кражи личности из-за меньшего объема затронутой информации.
Кроме того, учитывая специфику юридической профессии, мы считаем, что такие данные, как личные идентификационные номера (ЛИН), вероятно, уже доступны клиентам. Однако, по общему согласию, мы считаем, что риски несколько ниже.
Поскольку это уязвимость также требует небольших усилий, поскольку она связана с доступом к общедоступному, ранее открытому для доступа без аутентификации конечному пункту, для эксплуатации этой уязвимости требуется ручное взаимодействие со стороны злоумышленника.
Уязвимость CECCAR, о которой ранее сообщалось, приводила к несанкционированному раскрытию данных, содержащихся в документе, удостоверяющем личность, почти во всех случаях, при этом данные отправлялись как обычным, так и злонамеренным пользователям приложения.
В отличие от нарушения CECCAR, мы считаем, что это нарушение вряд ли было использовано в дикой природе.
Период нарушения
Поскольку мы не смогли подтвердить масштабы уязвимости, мы полагаем, что нарушение существовало с самого начала разработки IFEP, которое мы проследили по крайней мере Апрель 2021 года.
Мы оцениваем, что уязвимость не была обнаружена, использована в дикой природе или раскрыта в течение по крайней мере двух лет.
Оценка риска и детали CVSS - 5,5/10
Уязвимость была оценена на основе критичности, воздействия и эксплойтоспособности с использованием метрики оценки CVSS.Оценка CVSSиз:
Отчет о соответствии GDPR
Мы не смогли найти каких-либо открытых отчетов или раскрытий, чтобы соответствовать требованиям GDPR к раскрытию информации.
В то время как Регламент GDPR предусматривает исключение из обязательного раскрытия информации в случаях низкой вероятности нарушения личных прав, мы считаем, что прозрачно уведомлять вовлеченные стороны о рисках и предпринимаемых шагах, тем более в области, где люди заботятся о конфиденциальности своих данных.
INCORPO.RO - ОФИЦИАЛЬНЫЙ ВЫХОД
Мы считаем, что каждый должен знать, в какой степени обрабатываются его данные. Хотя мы поддерживаем обработку данных и сами являемся платформой, использующей аналитику для формирования наших продуктов, мы считаем, что это должно делаться ответственно и с надлежащим раскрытием информации.
Без каких-либо действий по уведомлению заинтересованных сторон в течение почти года и недавнего раскрытия утечки данных IFEP, мы считаем, что разумно уведомить заинтересованные стороны о рисках, которым они подвергались.
На этой странице