如何使用 Rejust.ro 的功能

通过3次点击，并使用短语“使用密码”，可以通过ReJust.ro访问文件的密码。

Aug 17, 2025 — Stefan-Lucian Deleanu

🦜

本文原文为罗马尼亚语。自动翻译和适配过程可能导致不准确的翻译。

ReJust.ro平台是一个应用程序，专业法律人士和普通公民可以通过它咨询匿名的司法案件文件。

在正常情况下，该应用程序一方面不应包含可能危及案件各方的个人信息，另一方面应为法律专业人士提供他们理解法院对某些常见或重复案件行为所需的信息。

因此，平台必须在满足当事人信息需求与保护当事人、证人等敏感数据安全之间取得平衡。

更新于2025年8月27日：关于视频漏洞的信息

ReJust.ro的实际缺口是什么？

ReJust.ro面临的主要问题是由于法官缺乏责任感，加上ReJust.ro平台管理者，即最高法院理事会，未采取措施所导致的。

Anonimizare realizata de catre un grefier care divulga parola de acces la dosarul electronic — 一个可能由书记员进行的匿名示例，他用笔划掉了案件的密码，但并没有使其无法阅读。 **为了保护受害者，我已对数据进行了匿名处理。**

首先，许多文件完全没有匿名化，使用蓝色墨水来“匿名化”文件的访问密码。

💡

要访问电子档案，您需要严格遵循 档案编号 (11/22/3333) 是词 (1234abcd). 目前没有双重身份验证或其他保护机制。

这种疏忽的文件数量达到数百份，但这首先表明了在数据后续处理或甚至发布时缺乏关注。

法官的职业疏忽，加上司法委员会的机构冷漠，导致了一个严重的、缺乏技术特征的漏洞未得到解决。在这种情况下，任何人都可以在rejust上搜索短语“使用密码”，以获取超过170,000个脆弱案件的列表。

0:00

/1:05

漏洞的实现方式。你进入网站，登录，搜索“使用密码”，然后获得所有具有公开密码的文件列表。接着，点击决策，点击下载，然后向下滚动，下载的文档中密码不再被屏蔽。这就是漏洞，任何人都可以做到，完全不需要IT知识。

显而易见，没有用户的情况下（在这种情况下，案号是无用的），但如果考虑到以下几点，这个问题很容易解决：a）在特定法院、特定对象和特定日期的案件数量在最繁忙的法院中少于10个。b）dosare.just.ro系统允许使用API进行高级搜索，且大多数案件搜索工具现在也支持高级搜索。

请从 rejust.ro 获取案件的相关数据，并在 just.ro 上查找 2-3 个案件。检查并比较设备，以帮助您准确识别当前案件。

因此，您可以从 rejust.ro 提取案件编号。同样，您也可以使用来自 just.ro 的数据在 rejust.ro 上进行搜索。

通过这两个，你可以访问电子档案，并进行连接。

下一步，对于恶意行为者来说，将是利用这些知识来窃取敏感数据，并发起勒索/获取信息的活动等等。因此，这一点非常严重。

一旦解密了 rejust.ro 的档案，并获得密码，您将拥有完整的电子档案访问权限，包括用户名和密码。

我们是如何发现意大利熏肉的？

2024年8月向CSM通知的包裹中的第一项内容是这个，我是通过一位税务顾问朋友得知的。问题非常简单，以至于他发现了它，并偶然提到，但并没有报告。我是向CSM报告的。

第二次漏洞我会在确保解决方案的同时提供更多细节，风险几乎不存在，受害者不会因可能的提前泄露而受到影响，即使这可能是由于CSM的过失造成的。

这次漏洞影响谁

大约有170,000个案件在康斯坦察、克卢日、塔尔古穆雷什、皮特什、克拉约瓦、蒂米什瓦拉等地区，任何使用克卢日上诉法院电子档案平台的法庭。

大多数集中在康斯坦察、克卢日和皮特什。部分结果显示其他密码，但这些仅占约10%的档案。在为验证漏洞的存在而审查的所有档案中（约20-30份），只有2份是假阳性，即仅有2份被多计入。

我们可以估计，实际存在的脆弱档案数量大约为150,000份，加上后续将详细说明的其他漏洞影响的档案，这一难度水平低于当前漏洞。

系统性剥削风险最高的类别是家庭和未成年人案件。这些案件包括4,904起财产分割和婚姻财产清算，837起行使父母权利，688起抚养费案件，以及129个保护令。

这些档案包含敏感个人数据，包括地址、财务信息和心理评估，构成情报收集和社会工程操作的优先目标。

在经济犯罪领域，376起逃税案件和698份破产申请为有组织经济犯罪团伙提供了宝贵的资源。关于金融计划、银行账户和商业关系的信息可以通过敲诈、内幕交易或在地下市场出售来实现货币化。

敏感的刑事档案，包括136起家庭暴力案件、52起卖淫案件和20起人口贩卖案件，存在高度的再受害风险。组织犯罪团伙可能利用这些数据来识别脆弱的受害者，或通过威胁证人来保护自己的操作。

财产争议，包括9,662起执行异议和8,555起继承案件，为针对性攻击提供了宝贵的情报。APT参与者可以利用这些信息进行鱼叉式网络钓鱼、伪装或其他针对拥有显著财富的个人的渗透技术。

公共当局做了什么？

DNSC已完成其工作，并已通知相关主管部门。

他们没有对造成的情况对任何人进行处罚，也没有对任何人采取措施来解决问题，似乎也没有对书记员进行培训，以防止未来再次发生这种情况。

康斯坦察上诉法院要求我们向相关当局通报脆弱方面，并表示再次强调，仅通过姓名进行匿名化已足以保护案件编号。

司法检查辩称，未发现任何问题行为或严重疏忽导致在传票中发布密码，这些传票是公开文件。

ANSPDCP告知我们，它并不是监督和制裁司法权力可能的数据外泄的机构，这一角色属于CSM。CSM并没有自我制裁，而是选择隐瞒问题，并未执行GDPR规定。

经过近12个月的时间，我访问了之前报告为脆弱的网站，以检查问题是否已解决。我发现解决方案只是表面上的，仍然允许通过密码访问文件。

今天早上我重新通知了相关机构，并启动了披露程序，以一种不对受害者造成风险的方式来处理漏洞问题。由于公众的压力，最高法院在创纪录的时间内解决了这个问题。

在上午11:04确认了问题的解决，反复检查平台以确保没有敏感数据泄露的风险。

在2025年8月27日，我们收到了关于阿尔杰什法院www.justitie-ag.ro平台采取措施的通知。

我已确认向司法机关报告的问题在前几天已得到解决。关于法庭提到的事项，出现以下批评：

即使网站间接访问ecris系统，仍然存在风险，一旦进入系统，恶意行为者可能会获得特权提升，尤其考虑到技术栈的过时和在应用开发中忽视网络安全标准。 因此，当前漏洞的存在表明，背后的问题可能更加严重，任何有动机的恶意行为者都有可能识别并利用这些问题。
我们希望对这些分析进行深入的研究。
很好。
问题在于可以通过应用程序的ID直接与可访问的数据库进行SQL注入，而不是可以访问其他文件。
很好。

重新通知后的当局回复（更新于2025年8月18日14:43）：

我建议尽可能透明化罗马尼亚国家的互动，以便推动建设性问题的解决和实施措施，以减少类似问题的持续风险。

因此，我确保当局无法否认对问题的了解，也无法在法律框架之外寻求解决方案。

正式互动（联系）：

DNSC确认将在2025年8月18日11:41开始采取行动，以响应重新通知的请求。

Ministerul Justitiei isi declina responsabilitatea in favoarea operatorului aplicatiei, Consiliul Superior al Magistraturii. Totusi, ei sunt operatorul aplicatiei portal.just.ro, si ea vulnerabila intr-un mod pe care nu il vom mentiona, dar mentionat catre acestia. — 司法部将责任转移给应用程序运营商，即最高法院理事会。 **然而，他们是portal.just.ro应用程序的运营商，并且它以我们不会提及的方式存在漏洞，但已向他们提及。**

平台 portal.just.ro 由他们管理，并披露了另一种月度漏洞的数据，具体细节将在解决后提供。不幸的是，我们不得不公开澄清，以迫使机构不再回避解决问题。

与网络平台的互动：

通过分析网络平台的日志技术，我分析了应用程序的访问区域，以突出公共当局与漏洞之间的互动。

互动 - 国家网络安全局

DNSC的首次互动发生在2025年8月17日9:00，在CSM解决漏洞之前，可能是DNSC干预的结果。

他严格查看了网站的主页，可能是为了识别几小时前向机构发送的通知的来源。

互动 - 罗马尼亚情报局

在过去72小时内，来自高级技术研究所（隶属于国家安全局）的ASN互动表明，执法机构正在获取有关漏洞的信息和文档。第一次访问发生在2025年8月18日，时间为10:00（布加勒斯特），在工作时间内，使用Linux操作系统。

短时间的中等会议会话更像是一种信息扫描活动，操作员快速浏览内容以识别主题和公众曝光水平，而没有对每个材料进行详细分析。

这种行为特征通常出现在初步检查或意识报告中，旨在为决策者提供关于声誉风险及其潜在机构影响的综合视图。

互动 - 国家反腐败局

我们监控了与国家反腐败局相关的IP的长期互动，这证明了反腐败当局参与了对漏洞的分析。访问从上午10点开始，在工作时间内进行。

延长的网络会话持续时间（浏览器标签间歇性打开），通过逐步浏览材料内容，似乎表明用户在进行工作。用户似乎在逐步浏览和分析文章中的信息。

CSM的官方回复（重新通知）- 更新于2025年9月13日：

遗憾的是，最高法院委员会的回应犹豫不决，没有承认其错误，也未采取必要措施以防止未来发生类似情况。

CSM表示通过rejust.ro无法获取案件编号（这是真的），但却忽略了一个事实，即较早的门户网站portal.just.ro允许这一手续，从而可能导致案件的去匿名化，并允许获取法院案件的访问凭证。

首先，尽管国家档案号无法获得的说法是正确的，但最高法院知道由司法部开发的portal.just.ro平台及其提供的API，这个平台是基于欧洲资金开发的。

因此，通过使用免费的公共应用程序portal.just.ro，可以对设备进行指纹识别 + 日期 + 实例 + 案件对象，以自动识别国家编号。

我们认为，CSM可能已经了解这些风险，因为他们参与了portal.just.ro平台的实施。然而，他们决定去匿名化和后续未经授权访问的风险不足以需要进行修改，以减少可能的匿名数据数量。

CSM迅速介入的说法是正确的，但忽略了初步和后续干预针对的是同样的技术问题，即在rejust.ro上可见的裁决相关电子档案的访问密码匿名化不足。

这意味着实际上，干预措施在解决问题方面是无效的，问题在整整一年内没有得到解决。甚至在此之前，自平台推出以来，漏洞一直对公众开放，时间更长。

在行业中，这样的回应至少会被视为疏忽。最终，CSM声称条款和条件或日志记录是必要的辩护，忽视了网络行为者通过使用VPN隐藏其真实位置来规避刑事追责的简单性。

VPN的使用非常广泛，通常通过混淆用户身份（使得很难识别在特定时刻访问系统的VPN用户）来实现，并且很少进行日志记录。VPN提供商将这一功能作为一种优势——绝对的隐私。

隐含地，任何基于惩罚性回应的安全措施都是无效的——检察机关将无法采取措施追究非国家恶意行为者的责任。

关于从大量大数据中可能处理的国家安全风险，这些信息可以用来识别某些关注对象的个人脆弱性。

例如，一个国家的演员可能会分析一个感兴趣的人的诉讼历史，识别出该人消费色情内容（从受害者的离婚电子档案中获得的信息）和/或有不忠行为的证据，并决定以公开档案文件进行勒索，以影响其政治资本。另一个例子是通过识别与金钱相关的诉讼行为来分析贿赂的倾向。

另一个更极端但不太可能的例子是分析法医证明或医疗文件中的信息，以了解某些可以被利用的健康问题。

随着人工智能技术能够大规模分析信息并提取对复杂攻击者有用的行为信息，所有这些变得越来越有用。

问答：罗马尼亚司法系统中的网络安全危机

以下是一些我认为许多人可能会问的问题的答案。我借助人工智能生成了与所提供信息合理相关的问题。

问：您是如何发现罗马尼亚司法系统中的漏洞的？

2024年8月向CSM通知的包中的首次漏洞就是这个，我是通过一位财务顾问朋友得知的。问题非常简单，以至于他发现了它，并偶然提到，但并没有报告。我是向CSM报告的。

通过3次点击，并使用短语“使用密码”，可以通过ReJust.ro访问文件的密码。绝大多数问题需要一个浏览器、一个鼠标和一个键盘。无需任何专业程序或技术知识即可进行操作。

您识别出的漏洞的实际范围是什么？

我报告了超过10个漏洞，没有一个是自愿通知的。官方公报、克卢日上诉法院、最高法院、军事法庭，以及超过80%的罗马尼亚法院都已受到影响。

数百万公民的隐私受到威胁，最严重的暴露程度出现在法院领域，电子档案中的文件可能包含法医证明、家庭暴力的详细信息以及其他非常敏感的信息。

大约有170,000个案件在康斯坦察、克卢日、塔尔古穆雷ș、皮特什蒂、克拉约瓦、蒂米什瓦拉等地区的法院中，这些法院使用了克卢日上诉法院的电子案件平台。

这些漏洞暴露了哪些类型的敏感数据？

系统性剥削风险最高的类别是家庭和未成年人案件。这些案件包括4,904起财产分割和婚姻财产清算，837起行使父母权利，688起抚养费案件，以及129个保护令。

在经济犯罪领域，376起逃税案件和698份破产申请为有组织经济犯罪团伙提供了宝贵的资源。

敏感的刑事档案，包括136起家庭暴力案件、52起卖淫案件和20起人口贩卖案件，存在高风险的再受害情况。

问：当您向当局报告问题时，他们的反应如何？

ANSPDCP告知我们，它并不是监督和制裁司法权力可能的数据外泄的机构，这一角色属于CSM。

CSM没有自我制裁，选择隐瞒问题而不执行GDPR规定。司法检查机构辩称没有任何问题行为，也没有导致在传票中发布密码的严重疏忽，这些传票是公开文件。

经过近12个月，我访问了之前报告为脆弱的网站，以检查问题是否已解决。我发现解决方案只是表面上的，仍然允许通过密码访问文件。

问：是否有证据表明这些漏洞正在被积极利用？

我知道更多的案例，在这些案例中，我通知了当局并公开了漏洞后，看到后续公开披露的经济运营者告诉我，他们正在利用国家尚未发现的类似漏洞，出于经济目的、好奇心等。大多数漏洞已经开放多年，随时可能被国家行为者利用。

该漏洞似乎已在实际环境中被利用，相关信息是由一位法律专业人士提供的，他通过rejust.ro平台研究可获取的判例法识别了该问题。

问：在您公开UNBR和CECCAR的漏洞后发生了什么？

在我通知受害者之后，关于UNBR + CECCAR的案件，他们对我提出了刑事控告，我认为这将被驳回。这证明了系统更倾向于寻找替罪羊，而不是采取措施。大约一年后，我被召唤作为证人。

检察官告诉我我所做的很好，但却让我四处奔波。我遭受了负责人的恐吓尝试，他们的行为旨在阻止采取措施来惩罚他们。例如，面临在法庭上奔波、需要支付律师费用等风险，都是一种威胁手段。

INTRACONNECT SRL在这些漏洞中的角色是什么？

INTRACONNECT SRL是一个例子，该实体负责约50%的公共机构信息系统漏洞。同一运营商还负责UNBR、eMAP系统及其他我将不提及的平台。

我不知道合同是如何分配的，是否对他们进行安全检查，或者他们的绩效是如何被监控的。

这些漏洞对国家安全构成了什么风险？

系统存在多个关键问题，允许在没有密码的情况下访问任何账户，包括管理员账户，这可能被用来查看系统中运行程序的所有文件，包括程序的归档。

从长远来看，这些问题可以被用作破坏行动，例如在当局响应时间较长的情况下，虚假宣布戒严。可以发布一项法令，宣布战争状态，以在民众中制造不稳定，并引发叛乱以推翻国家秩序。

问：为什么CSM不采取有效措施来解决问题？

CSM利用宪法独立性不遵守法律，并过度引用司法独立性以避免施加制裁。CSM控制着司法监察机构，该机构可以将那些能够公正审理与其上级相关案件的法官排除在系统之外，使其失业。

系统已经无法挽救地腐败，政府或政治权力似乎无法控制它，因为宪法法院和最高人民法院的巨大影响力。实际上，如果他们不愿意，任何法律都无法通过或实施。

这情况如何影响外国公民和国际关系？

来自数十个国家的公民参与其中，从美国公民到德国、法国、意大利和阿联酋的公民等。考虑到德国在GDPR方面的严格性及其在欧盟中的影响力，我们已通知德国；考虑到与法国的文化接近性以及他们在我们国家独立期间给予的帮助，我们也已通知法国。

例如，罗马尼亚拒绝协助我确保我的权利，理由是我是一名罗马尼亚公民，而不是外国人。罗马尼亚认为其公民是可管理的资源，而外国人由于受到大使馆的保护，享有额外的权利。

这不是外国人的错，而是我们的错，因为我们没有尊重我们公民的权利，因为他们没有任何外国大使馆来保障他们在司法中的公平。

如果不采取紧急措施，会发生什么？

如果不被国家行为者利用，国家安全可能会被内部行为者——骗子、诈骗者、黑客等——所利用。漏洞可能会被犯罪分子利用，司法系统将在公众信任缺失的情况下崩溃。

法官如果无法证明自己值得，就有可能失去所有福利。无论政治立场如何，社会的努力对于清理系统都是至关重要的。

公民可以做些什么来推动变革？

我的信息是要向当局提出建议，即使他们没有获得任何利益。这是为了国家复苏而必须做出的努力。

否则，至少应请求欧盟委员会的帮助，因为他们不希望被威胁，称他们在小时候曾遭受侵犯，或者被威胁如果采取行动就会伤害他们的孩子，因为这些弱点是由CSM或其他当局不小心公开的文件所揭示的。

普通公民应向议员问责，向委员会提出投诉，并联系他们国家的使馆（对于非罗马尼亚人）。

问：您为何在面对报复和个人风险的情况下，仍然继续这场斗争？

对于一个希望在罗马尼亚生育孩子的人来说，这是一种道德和爱国的责任。我不相信我的一代能够拯救罗马尼亚，但我感到满足的是努力让这个国家比我接手时更富裕。

是的，我会继续报告漏洞，我已经承担了可能遭受报复的风险，尽管我采取了措施来最小化这些风险，并能够将机构滥用转化为可以在国际上追踪的其他因素。

您对罗马尼亚当前网络安全状况的看法是什么？

现实远比人们的感知要糟糕得多。不幸的是，公共机构不仅不遵守基本的网络安全规则，安全审计也只是纸上谈兵，未采取任何措施，并且有合理的怀疑认为这些行为是在公共机构及其利益集团的协助下进行的。

缺乏透明度使我们对情况的自豪感超过了实际情况，并使我们容易受到意想不到的攻击。相关当局和机构似乎无法应对。

问：为什么机构不从重复的漏洞中吸取教训，也不采取预防措施？

机构不会从重复的漏洞中吸取教训，因为公民的数据无关紧要，而普通公民所面临的风险并不会影响他们。

大约50%的问题仅仅是表面解决，尤其是那些对用户要求最低努力的问题——这些问题最危险，因为它们容易被滥用。

没有处罚，只有好处 - 你不需要初始投入，只需按需进行。当没有处罚时，数据泄露只是你未来需要推迟的工作任务，而不是危机。

你认为像DNSC和SRI这样的监管机构的实际能力是什么？

DNSC在管理方面的能力有限，类似于SRI等执法机构。司法部门拥有相当大的权力，并似乎通过其作为国家第三权力的权威和实际权力，排除某些责任。

DNSC非常高效，但司法界的行会非常强大，往往对“命令”持抵触态度，因此在我看来，DNSC的手也有些被束缚。过去一年，DNSC有数以万计的票据，这表明问题过于频繁，但似乎当局拒绝遵从DNSC的要求。

显然，我在这里所说的基于我所看到的效果和我所知道的实体的职责，因为没有人给我报告。然而，我认为当局势发生变化时，这一点是相当明确的，而某些回答表明需要在这方面进行协调和培训。

问：哪些案件会得到快速关注，而哪些案件会被忽视多年？

高风险案件通常涉及迫切的政治或国家安全利益，在这种情况下，执法机构的影响力超越了负责当局的影响力，因此后者不得不采取必要措施，而不能回避责任。

到目前为止，UNBR、CECCAR、CSM和官方公报是主要的反对者，出于缺乏兴趣的原因，所有这些机构在政治上都很强大并且有影响力。在许多其他问题上，他们已经解决了，但这需要在管理脆弱性的机构中有制度上的善意。

问：为什么在发现漏洞一年多后，受害者仍未被通知？

受害者未被通知，因为GDPR在罗马尼亚并未受到重视。CSM在事件发生超过11个月后仍未通知律师，可能出于形象原因不打算通知受害者，尽管法律对此有明确要求。

我希望一些专业人士能够提起诉讼并要求赔偿，否则这些问题将永远得不到重视，他们只会嘲弄这些问题。

问：今天的补救措施如何证明当局一直知道这个问题？

今天早上，我们重新通知了相关机构，并启动了披露程序，以一种不对受害者构成风险的方式来处理漏洞的存在。由于公众的压力，CSM迅速解决了这个问题。

在上午11:04确认问题已解决，并多次检查平台以确保没有敏感数据泄露的风险。

现在，数据已正确匿名，密码被替换为***。这表明CSM知道这个漏洞，但在公众压力下才被迫采取行动。

专业人士如何在“专业工具包”中利用这些漏洞？

有各种各样的供应商，主要是IT平台提供商，他们自动化与国家关系相关的各种事务，还有一些专业人士利用意想不到的高级功能进行信息获取。了解罗马尼亚问题的人有几十个。

专业人士将脆弱性纳入其专业工具包，因为这些脆弱性在被积极利用时往往是有用的且从未被识别。

经济运营者进行各种活动，从工业间谍活动到获取本来会花费更多的数据。

问：罗马尼亚在这些问题上如何在欧洲层面受到监测？

欧盟在国内法方面的介入相对有限，但在存在跨境因素时，可以要求遵守其规定。大使馆也有保护其公民的利益。

我已经向欧洲委员会发送了备忘录，因为我想在无法通过组合解决问题的地方刺痛他们。

这些问题背后的真正权力结构是什么？

国家由利益集团组成，其中许多并不关心罗马尼亚作为一个国家的福祉。不是因为外国人对我们造成伤害，而是因为罗马尼亚人对我们造成伤害，并利用我们缺乏神明或权威的事实。

显然，这些档案中可获取的数据的敏感性及其高信息质量在许多情况下对国家安全构成了风险。

您在这场斗争中个人投入了多少？这对您有什么影响？

我投入了数十个小时来识别、报告、通知，然后亲自签字，以便解决这一领域的一些更为关键的问题。

罗马尼亚国家为我支付机票，以便我因一些腐败人物的过错而签字。不幸的是，像我这样的报告者在很大程度上是无用的，因为缺乏来自其他力量的压力来迫使责任人对漏洞负责，它们就像用胶水粘在一起。然而，我确实会造成很大的麻烦。

问：哪些是数据泄露受害者面临的最严重风险？

被贩卖的女性、强奸受害者、被虐待的儿童、个人问题变得公开的人、财务问题成为公众关注焦点的公司。

他们不希望被勒索，尤其是因为他们在小时候曾遭受过侵犯，或者被威胁如果采取行动就会伤害他们的孩子，因为这些弱点是由CSM或其他当局不小心公开的文件所揭示的。

有组织犯罪团伙可能利用这些数据来识别脆弱的受害者，或通过妨碍证人来保护自己的操作。

您对国际压力和大使馆的期望是什么？

我期待德国和法国对罗马尼亚政府施加压力，即使是默默无闻的。我将通知更多的使馆，以使他们也承担责任，并提高他们为自己公民采取措施的可能性，以免在自己国家面临指责。

在通知大使馆时，我会按照责任顺序进行，以降低它们滥用漏洞或当前系统弱点信息的风险。到目前为止，所有通知的大使馆均为北约成员，大多数来自欧盟。