数据泄露 - 国家商业登记局 (ONRC)

Publicație Oficială: ENTRYRISE S.R.L
Scop: Notificarea societății civile cu privire la existența informațiilor în spațiul public

Momente cheie:
- Identificare vulnerabilități: 26 Iulie 2024 - 27 Iulie 2024
- Tentativa eșuată de soluționare și re-lansare: 27.07.2024
- Data formulare critici tentativa: 21:38 PM, 27.07.2024
- Soluționare efectivă a problemelor: 30.07.2024

Detalii Breșa:
- [Momentan confidențiale]

Riscuri:
- Furt de identitate (Peste 3.000 persoane vulnerabile, toate persoanele care au efectuat plăți pe platforma până în 28.07.2024 + Toate persoanele fizice care au fost vreodată insolvențe)
- Risc de profilare automata pe informații cu privire la situația financiară a persoanelor care au fost vreodata insolvente in Romania.
- Divulgare informații nedestinate publicității cu privire la toate societățile comerciale, existența contracte notificate spre ONRC.
- Compromiterea confidențialității și integrității unui set restrâns de date referitoare la toate societatile din Romania nedestinate publicității largi, cu impact redus asupra secretului comercial și avantajului competitiv.
- Divulgarea tuturor părților în contractele de închiriere, comodat, vânzare notificate spre ONRC.

视频剪辑事件详情：

国家商业登记局（ONRC）的MyPortal平台旨在促进企业家与机构之间的数字互动，但发现了一系列关键漏洞，暴露了数千名用户的个人数据，以及超过100万家公司的信息。

除了明显的技术问题，这一事件揭示了罗马尼亚公共机构在网络安全方面的深层缺陷，并对当局在处理此类情况时的责任和透明度提出了严重质疑。

建立在不稳固基础上的系统

我们的调查显示，MyPortal平台的构建基础薄弱，忽视了基本的安全原则，使用户的敏感数据面临不可接受的风险。

缺乏对计算记录的身份验证和访问控制:

任何人都可以通过简单修改URL访问其他用户的计算表，而无需身份验证。这些计算表包含敏感数据，如身份证号码和地址。

破产个人的身份证号码披露:

端点 /bpi-published-persons/pf dezvăluie CNP-urile tuturor persoanelor fizice în stare de insolvență, alături de nume și prenume, la o simplă interogare cu o vocală.

通过“信息 - 案件状态”功能过度披露信息:

使用此功能可以揭示有关公司和个人授权的广泛潜在敏感信息，包括联系信息、财务信息和后端基础设施的详细信息。

问题在多个端点上持续存在，并且泄露：

1. 公司代表的联系信息，通过向国家商业登记局（ONRC）提交的请求进行沟通
2. 有关公司或授权个人的信息，包括公司的活动、股份数量、注册人、公司期限、破产状态等
3. 联系电话、传真号码、可能的ONRC声明电子邮件、
4. 所有在国家商业注册处声明的工作地点，
5. 关于租赁空间的所有信息，包括生效和到期（期限），租赁提供者（包括个人）。
6. 后台基础设施细节，提交文件的个人细节，涉及的注册人员细节（BERC克隆），文件及其分类程度的细节（？）

因缺乏验证而免费获取文件:

该系统允许生成如破产程序证书和通知等文件，而无需验证付款的完成，从而在实际支付服务之前提供访问权限。

接受空白或无关文件:

平台允许上传空白或无关的PDF文件，这些文件经过电子签名，自动批准而无需适当的验证。唯一的验证是基于上传文件的名称，必须与生成的文件名称相符。

这些漏洞通过我们提供给当局的屏幕截图、示范文件和视频记录反复证明，是政府数字平台开发和管理中系统性问题的症状。

风险与影响：超越技术层面

除了纯技术方面，MyPortal平台的漏洞对国家提供的数字服务的安全性和信任度产生了深远的影响。

个人数据的泄露会促进身份盗窃、欺诈以及非法目的的信息滥用等犯罪行为。

此外，这类事件削弱了公民和商业环境对公共机构保护其数据和提供安全数字服务能力的信任。

最终，550万RON的投资用于实施自动测试和平台安全审计似乎并没有带来有效的服务：

当局的回应：快速且高效

尽管我们已迅速向国家商业登记局（ONRC）、国家网络安全局（DNSC）和国家个人数据处理监督局（ANSPDCP）报告了发现的漏洞，但当局的回应虽然迅速，但最初却不够有效。

尽管平台暂时关闭了几个小时以进行修复，希望能解决问题，但安全问题仍然存在。我们需要一段视频来严厉批评回应，以促使认真回应。

例如，在第一次解决尝试后，ONRC 只是删除了蓝色下载按钮，而没有阻止实际下载文件的 API 端点：

该视频的制作旨在发出警示，强调当局采取果断和透明措施的必要性。

我们报告的其他CVD的响应速度比较，ONRC和DNSC的反应速度明显更快，这一方面我们认为是由于向多个关键机构的报告，从而发出了关于问题严重性的强烈信号。

解决漏洞的期限大约为2-3天。

行动与责任的呼吁

现在是罗马尼亚当局认真对待网络安全的时候了。这不仅仅是技术问题，还需要根本性的思维转变和各级别的责任保障。

公共机构必须优先考虑个人数据安全，并分配必要的资源以开发和维护强大且安全的数字平台。

此外，在安全事件发生时，与公众进行透明和积极的沟通至关重要，以维护公民对政府数字服务的信任。

除了技术方面，还需要进行立法改革，以确保为未能保护公民数据的机构提供明确的责任和处罚框架。

只有通过严格的措施和对忽视网络安全的人的实际后果，我们才能期待真正的态度转变。如果有过失的公务员不受惩罚，唯一受损的将是公共机构，进而是不得不忍受更高税收的公民，这个问题就无法得到解决。必须实施事后分析机制，并采取相应的制裁措施，以防止同样错误的重演。

结论：需要学习的教训

ONRC的MyPortal平台发现的漏洞是一个更大问题的症状——对政府数字服务中网络安全的忽视。

我们希望这一事件能成为罗马尼亚当局的警钟，强调在网络安全领域采取积极、负责任和透明的方法的必要性。

在公共机构处理公民数据安全的方式上，需要进行范式转变。只有通过优先考虑网络安全、合理分配资源、确保问责制以及与公众进行透明沟通，我们才能希望恢复对政府数字服务的信任，并为所有中国公民创造一个安全的在线空间。

作为公司，我们有责任追究代表我们的机构，并确保我们的数字时代权利得到妥善保护。

我们希望通过详细阐述这些脆弱性及其影响，鼓励建设性的对话，并促使采取具体行动，以改善罗马尼亚的网络安全。

附加文件：

问题通知

公共采购平台详情（30,000,000欧元及以上）

这些材料是我们努力的基础，我们希望它们能成为在罗马尼亚进行关于网络安全的诚实和富有成效的讨论的起点。是时候采取行动、实现透明和负责任——这始于承认问题并坚定承诺解决它们。

公共采购详情：

建议与推荐，意见：

在平台发布之前，ONRC是否存在问题？

我认为是的。根据我直接从平台源代码中获得的条款和条件，并在LaTeX中重建（原始文本，ClaudeAI重新格式化）。重建的整个文档位于附件文档部分。

迪恩 在线服务BPI访问的条款和条件从源代码中挖掘的数据（我没有看到它是否在平台上存在和激活，但这证明了平台的问题是已知的）

此外，ONRC与两个测试实体签订了合同，其中第二个合同金额较小，为50,000罗马尼亚列伊，作为“技术审计”，由一家进行渗透测试的公司提供。 ONRC是否意识到第一次服务的质量很差？

如何安全地保存您的数据？

一旦你的信息变得公开可用，你所收到的网络钓鱼/定向钓鱼攻击的数量就会增加。因此，请遵循以下步骤来识别是否存在钓鱼尝试：

国家赔偿与制裁：

个人数据受到GDPR和本国法律的保护。由于ONRC平台的原因，您的个人数据可能已被第三方访问或甚至获取（在某些情况下）。 我建议你咨询律师，因为在我（非律师）的观点中，可能会因过失而承担民事责任。

• 国家律师协会 - Avocati IFEP.ro 在发布时无法访问: https://www.ifep.ro/Justice/Lawyers/LawyersPanel.aspx
• 克卢日律师协会的律师名单： https://www.baroul-cluj.ro/tabloul-avocatilor/avocati-definitivi/
• 律师协会 - 布加勒斯特律师公会： https://www.baroul-bucuresti.ro/tablou

第82条 GDPR - 赔偿权和责任 - 通用数据保护条例 (GDPR)

任何因违反本条例而遭受物质或非物质损害的人都有权从控制者或处理者那里获得赔偿。1任何参与处理的控制者对因处理违反本条例而造成的损害承担责任。2处理者应……继续阅读第82条GDPR - 赔偿权和责任

通用数据保护条例 (GDPR)

第1349条 新民法典 侵权责任 一般规定 民事责任

第1349条 侵权责任 一般规定 民事责任 新民法典 2011年 法律第287号 2009年

立法AZ阿德里安·保罗

更新：

更新 #1：来自ONRC的意外良好回应

当我向国家商业注册局提交申请时，我并没有抱太大期望。之前与公共机构的经历让我对期望保持谨慎。然而这一次，我感到非常惊喜。

ONRC迅速回应，令我惊讶的是，他们的方式非常专业。他们直接处理了所提到的问题，确认已进行了检查并采取了措施。此外，他们提到会持续监控门户网站，并乐于接受反馈。

让我印象最深刻的是回复的语气——尊重且非常得体。很少能看到公共机构对涉及严重问题的反馈表示感谢，并表现出对改善服务的真正关心。

虽然一个好的答案并不能解决系统的所有问题，但这是一个令人鼓舞的迹象。它表明在机构与公民之间存在更好沟通的潜力。这是一个有希望的开始，我希望在未来看到更多这样的例子。

更新 #2 - 科技、创新与数字化部长的回复

MCID也随后给出了另一个鼓舞人心的回应，开始参与解决MyPortal.ONRC.ro平台的问题。

可下载文件（新闻稿）：