跳过到主要内容

CECCAR - 数据泄露

2023 年 9 月 7 日发现数据泄露,未由罗马尼亚注册会计师协会报告,50,000 多人的信息被公开。

Stefan-Lucian Deleanu

CECCAR - 数据泄露
照片由 塔夫克·巴尔布伊亚 / Unsplash

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: September 7, 2023

BREACH Details:
- Over 50.000 private individuals personal details, including names, personal identification numbers (CNP), sex, birth date, birth place, address, PO box address, phone number, mobile phone number, email address, phone address, website, authorization number, "APEA", citizenship, professional details, and more.

RISKS:
- Identity Theft
- Misuse of credentials
- Fraud and money laundering through identity theft (Such as taking online loans)
https://www.linkedin.com/in/stefan-deleanu-94036417b/
https://www.facebook.com/stefatorus
MAIL: [email protected]

更新 #1: 2024年6月1日 00:48

发布细节

2023 年 9 月 7 日 罗马尼亚会计协会(CECCAR)发生了一起重大违规事件,涉及所有注册会计师和授权会计师。

随着以下信息公开:

  1. 全名:识别各个成员。
  2. 个人数字代码(CNP):包含敏感数据(如出生日期和性别)的唯一标识符。
  3. 地址:或办公或家庭地址。
  4. 出生日期和地点:包括特定地區,添加到個人身份識別。
  5. 手机号码:有些例子包括固定電話號碼。
  6. 邮政地址:與住宅或辦公室地址不同。
  7. 与 CECCAR 注册相关的数据:打算公开展示,但在这种情况下仍敏感。
  8. 个人身份识别码 (CIP):另一个唯一的标识符。
  9. 公民身份:这可能很敏感,因为它可能表明种族。
  10. 更多

脆弱性 难度 非常低

该漏洞允许人们直接通过浏览器访问个人身份信息。

通知尝试和官方回应

立即通知了数据保护官员以及 CECCAR 的官方联系地址,并提供了详细信息,包括违规的范围、重现问题的步骤以及潜在的解决方案。

共同的行为由律师协会(UNBR)分享:

我们已将国家数据保护机构抄送一份,以确保正确通知了违规行为,因为 以前关于类似漏洞导致泄露在律师协会注册的所有律师的个人识别号(CNP)的报告也同样没有被报告。.

报告全文可在此处查看(电子邮件下载 - PDF):

RE_ 潜在的 GDPR 违规 - 在网络请求中披露个人数据
RE_潜在的 GDPR 违规 - 在网络请求中披露个人数据.pdf
237 KB
下载-圆形

来自 CECCAR DPO 的回复

The DPO of CECCAR,来自 http://daikokuten.ro/,通知我们将采取所有必要措施,在解决方案后正确披露漏洞 通知国家数据机构.

采取的措施

该漏洞已在 9 月 10 日由我们的验证团队确认解决,技术团队已从端点中删除个人身份信息。

我们相信这已经完全解决了违规行为。

违约期

我们无法验证漏洞的严重程度,但我们相信该漏洞在以下时间存在: 至少 6 個月,已识别出易受攻击的程序 自 2021 年起便可访问.

风险评估和 CVSS 详细信息

根据 CVSS 评分标准,对漏洞进行了评估,参考了严重性、影响和可利用性。 估计的 CVSS 分数 的:

  • CVSS 基本分值: 7.5/10
  • 影响子分数: 3.6/1o
  • Exploitability Subscore: 3.9/10
  • CVSS 时间分数: 7.2/10
  • CVSS 环境分数:7.2/10
  • 修改后的影响分值:3.6/10
  • 总体 CVSS 分数: 7.2/10

来自ANSPDCP的回复

国家数据保护机构 尚未接到违规通知 由 CECCAR 的数据保护官员根据法律要求进行。

2024 年 1 月 3 日,ANSPDCP 通知我们,他们无法找到漏洞,并要求提供证明。我们提供了证明,包括 CECCAR 泄露的所有数据。

ANSPDCP - 官方回應
421_ANSPDCP - 回复 16863 (4).pdf
137 KB
下载-圆形

INCORPO.RO - 正式發布

我们相信每个人都应该了解他们的数据被处理的程度。虽然我们支持处理数据,并且我们自己是一个使用分析来帮助塑造我们的产品的平台,但我们认为这应该负责任地进行,并进行适当的披露。

“CECCAR 决定隐瞒漏洞而不是通知用户的行为,证明了他们恶意活动的证据,并试图掩盖他们无法保护信息的事实。”

我们决定自己通知相关人员,以防掩盖数据泄露事件。

检查您是否在 CECCAR 数据泄露中受到影响:

我们已经通过电子邮件向所有受影响的个人发送了有关泄露数据的完整报告。

然而,由于缺乏信任和对违规行为的认识(我们是一个私营实体),我们决定开发一个工具来帮助个人安全地意识到他们已被违规。