În urmă cu câteva zile a fost publicat un Raport al experților Website Planet care anunța o breșă de securitate a portalului imobiliare.ro, fiind vorba accesul nesecurizat a 201.087 fișiere din baza de date a companiei.
Lansat în 2000, imobiliare.ro este cel mai mare portal imobiliar din România, oferind serviciile sale atât agențiilor imobiliare, cât și persoanelor fizice din România. Compania Realmedia Network SA este o filială a grupului media elvețian Ringier. Pe acest portal, clienții își pot publica ofertele astfel că, potrivit companiei, peste 1.000 de agenții imobiliare beneficiază de serviciile sale și susțin că înregistrează peste 1 milion de vizitatori unici pe lună. Imobiliare.ro promovează o selecție de proprietăți, inclusiv construcții noi în cadrul complexelor rezidențiale și comerciale moderne. Compania este activă și în promovarea serviciilor sale prin parteneriate cu publicații și portaluri de prestigiu din România.
Breșa de securitate a fost posibilă datorită unor configurări greșite a mediului unde este stocată baza de date (AWS S3 Bucket), oricine putând să acceseze aceste date introducând adresa URL. Acest lucru ar fi putut fi ușor evitat dacă ar fi fost adoptate măsuri de securitate de bază, cum ar fi de exemplu protecția cu o parola. Amazon Web Services ( AWS ) Simple Storage Service ( S3 ) este un mediu de stocare in cloud, similar cu un folder de fișiere și în acest caz nu poate fi considerat responsabil pentru lipsa măsurilor de securitate care cad sarcina operatorului.
Echipa Website Planet a sesizat prima dată proprietarii Imobiliare.ro privind această breșă de securitate pe 1 decembrie 2020, transmițând totodată un mesaș și către Amazon Web Services (AWS ) pe 11 decembrie 2020, dar nu au primit nici un fel de răspuns. In luna ianuarie 2021, după câteva încercări suplimentare, Echipa Website Planet a contactat direct Compania Ringier (care deține Imobiliare.ro) care a luat măsuri și a remediat eroarea de configurare pe 11 ianuarie 2021.
În acest moment nu se cunoaște cu exactitate dacă au fost și alte persoane care au profitat de disponibilitatea acestor date în spațiul public. O combinație de nume complet, adresă, carte de identitate națională și semnătură sunt suficiente pentru furtul de identitate și fraudă. În plus, detaliile personale ale utilizatorului ar putea fi utilizate pentru a comite fraude pe alte platforme fără ca victima să conștientizeze faptul că are loc o astfel de activitate.
Conform raportului, datele expuse au fost stocate în 35.738 fișiere .PDF și 165.316 .JPG și au inclus informații de identificare personală (PII), cum ar fi:
- Nume complete
- Numere de telefon
- Adresa de acasa
- E-mailuri
- Coduri Numerice Personale
- Semnături personale
Alte informații confidențiale despre clienți au inclus:
- Contracte imobiliare între clienți și agenție.
- Documente de proprietate, inclusiv planuri arhitecturale, specificații detaliate și locații ale proprietății.
- Extrase funciare și documente ANCPI (Agenția Națională pentru Cadastru și Publicitate)
- Imagini de profil utilizator.
- Copii scanate ale cărților de identitate naționale, inclusiv coduri de identificare.
- Prețul solicitat al proprietății.
- Descriere detaliată a proprietăților, inclusiv locația, împrejurimile și serviciile locale.
Având în vedere că Realmedia Network SA nu a publicat până în acest moment (07.02.2021-12:00) nici o informare publică pe site privind această breșă, nu putem ști cu exactitate cum a gestionat compania breșa de securitate și dacă și-a îndeplinit obligațiile legale în aceste situații.
Redactia dpo-net.ro a contactat Realmedia Network SA cu scopul de a obtine un punct de vedere, pe care il vom publica imediat ce va intra in posesia noastra.


Cum trebuie să reacționeze o companie în cazul unei breșe de securitate?
Fiecare operator de date este obligat să protejeze în mod corespunzător toate informațiile referitoare la angajații săi, precum și să protejeze informațiile comerciale confidențiale (inclusiv informații referitoare la clienți, angajați, afiliați). Pentru a atinge acest obiectiv și pentru a minimiza riscul pierderii, furtului sau compromiterii informațiilor legate de afaceri sau de clienți, sistemele, procedurile operaționale și politicile corespunzătoare care sunt în vigoare trebuie revizuite și actualizate în mod regulat. Problemele de securitate sunt inregistrate zilnic, in absolut toate domeniile de activitate.
Art. 4 alin. (12) din Regulamentul UE 2016/679 definește "încălcarea securităţii datelor cu caracter personal" ca o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.
Regulamentul UE 2016/679 care a intrat in vigoare la 25 mai 2016 și se aplică în toate statele membre din 25 mai 2018 prevede că „în cazul în care are loc o încălcare a securității datelor cu caracter personal, operatorul notifică acest lucru autorității de supraveghere competente (...), fără întârzieri nejustificate și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta, cu excepția cazului în care este susceptibilă să genereze un risc pentru drepturile și libertățile persoanelor fizice".
Raportarea trebuie făcută cât mai rapid posibil şi, în orice caz, în maximum 72 de ore de la producerea incidentului de securitate. In mod excepţional, operatorii pot raporta incidentul peste limita de 72 de ore, dar trebuie să motiveze întârzierea. De exemplu, pot exista cazuri când incidentul este descoperit la câteva luni de la producere.
Fiecare organizație trebuie să implementeze un plan de răspuns la incidente de securitate care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate care va pune planul în acțiune.
Etapele care trebuie parcurse în cazul unui incident de securitate, sunt umătoarele:
- Investigarea incidentului intern (în cooperare cu autoritățile de aplicare a legii, dacă este necesar);
- Limitarea și, dacă este posibilă, reducerea prejudiciului potențial asupra părților afectate;
- Minimizarea impactului negativ asupra operatorului de date cu caracter personal într-o manieră etică și legală adecvată, care să includă minimizarea reducerii operațiunilor, a daunelor reputaționale și a daunelor financiare
- Comunicați corespunzător incidentul sau pierderea către:
a. Părțile afectate
b. Agențiile de reglementare - Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
c. Personalului ( în special către conducere);
- Oferă îndrumare sau asistență în elaborarea acțiunilor corective specifice (inclusiv acțiunile disciplinare, după caz);
- Realizați revizuiri post-incident, instruire și educație și furnizați comunicări interne pentru a minimiza potențialele incidente viitoare
Incidentele au o cronologie care conține, în general, o fază de acțiuni inițiale și o fază de acțiuni post-incident. Acțiunile inițiale încep de îndată ce un incident este descoperit sau raportat și includ acțiuni de răspuns în timp real pentru a limita daunele în timp ce se planifică un plan de acțiuni mai organizat.
Acțiunile post-incident includ toate activitățile desfășurate necesare pentru închiderea unui incident și includ investigarea, corectarea proceselor, notificarea persoanelor afectate și raportarea către agențiile de reglementare, conform legii.
Un nou curs ONLINE - Planul de răspuns la incidente de securitate
Conștientizarea pericolelor în materie de securitate este o problemă de conformitate și este necesară pentru a asigura respectarea unor standarde precum ISO27001. De aceea am lansat un nou curs pe platforma de E-learning DPO-NET.ro, intitulat „Planul de răspuns la incidente de securitate„.
Scopul acestui curs este de a a furniza o abordare cât mai clar definită și organizată pentru a gestiona amenințările reale sau potențiale asupra procesului de prelucrare a datelor cu caracter personal.Fiecare organizație trebuie să implementeze un plan de răspuns la incidente de securitate care să identifice și să descrie rolurile și responsabilitățile echipei de răspuns în cazul unei breșe de securitate care va pune planul în acțiune.
Cost curs: 180 LEI
La finalul cursului se va accesa un chestionar grila cu zece intrebari alese aleatoriu din baza de date si daca rezultatul final al raspunsurilor corecte depaseste procentul de 70%, cursantul obtine automat un Certificat de Absolvire.
Acest curs poate fi utilizat de Responsabilul cu Protectia Datelor (DPO) pentru a asigura informarea angajatilor operatorului de date, obtinand astfel si dovada instruirii acestora prin obtinerea Certificatului de Absolvire emis de dpo-NET.ro. Pentru inscrierea la curs este nevoie sa aveti un cont cu acces la cursurile online dpo-NET.ro.
Daca nu ati solicitat inca un astfel de cont, o puteti face prin completarea urmatorului formular: https://dpo-net.ro/solicitare-cont-acces-cursuri-online/, urmand ca in maxim 48 de ore sa primiti un email de confirmare privind inregistrarea, cu detalii despre autentificarea in sistem.
Dacă aveți deja un cont creat, este necesar să achiziționați două unități (180 lei) pentru a vă putea înscrie. O puteți face completând următorul formular: https://dpo-net.ro/solicitare-unitati-cursuri/
Cuprinsul cursului online „Planul de răspuns la incidente de securitate„:
1. Introducere
2. Etapele unui plan de răspuns la incidente de securitate
3. Cum recunoaștem un incident de securitate ?
4. Echipa de management a incidentelor de securitate
5. Cronologia evenimentelor în cazul unui incident de securitate
6. Exemple de incidentele care ar trebui raportate
7. Identificarea incidentelor de securitate,
8. Implicarea departamentelor de management și IT / Conformitate
9. Notificările în regim de urgență
10 Actvități inițiale
10.1. Izolarea incidentelor de securitate
10.2.Cyber-Asigurări și externalizarea serviciilor de răspuns la inciente de securitate
10.3 Documentarea și deschiderea rapoartelor de incident de securitate
10.4 Înființarea echipei de management a incidentului și analiza planurilor alternative
11. Activități port-incident
11.1 Analiza și planificarea
11.2 Investigația
11.3 Reducerea riscurilor și adoptarea măsurilor corective
11.4 Notificarea
11.5 Închiderea dosarului deschis pentru incidentul de securitate
11.6 Raportarea
ANEXA A -Formular de raportare a incidentelor de securitate
ANEXA B -Notificare de încălcare a securității datelor cu caracter personal
ANEXA C – Lista a celor mai frecvente amenințări de securitate
Următorul tabel conține datele de contact ale terțelor persoane care ar putea fi utile, în funcție de natura incidentului.
Din 2 mai 2019 a fost lansat prin Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, CERT-RO, un număr unic, 1911, apelabil din toate reţelele, la care pot fi raportate incidentele de securitate cibernetică de către persoanele fizice, juridice şi instituţiile publice, oferindu-se prin call-center o asistenţă primară şi consiliere pentru diagnosticare şi remediere.
Organizație |
Contact |
Număr telefon |
Email |
CERT-RO |
Strada Italiană nr. 22, Sector 2, Cod poștal 020976, București |
1911 |
alerts@cert.ro |
Autoritatea Națională NIS
|
|
+40.316.202.167
+40.316-202.190 |
nis@cert.ro |
CSIRT Național |
|
+40.316.202.154
+40.316-202.190 |
csirt@cert.ro |
Raportarea Coordonată a vulnerabilităților - CVD
Conform procedurii disponibile aici:
https://cert.ro/pagini/CVD |
|
|
cvd@cert.ro |
Punct Național Unic de Contact |
|
+40.316.202.193
+40.316-202.190 |
spoc@cert.ro |
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal |
B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, cod poștal 010336, București, România |
+40.318.059.211
+40.318.059.212 |
anspdcp@dataprotection.ro |
Lista a celor mai frecvente amenințări de securitate
Aceasta este o listă a celor mai frecvente amenințări de securitate de care organzația Dumneavoastră și angajații trebuie să fie conștienți. Există, desigur, mai multe amenințări și aceată listă își propune sa fie doar un punct de plecare pentru a conștientiza existența lor.
Conștientizarea pericolelor în materie de securitate este o problemă de conformitate și este necesară pentru a asigura respectarea unor
standarde precum ISO27001.
Conștientizarea pericolelor în domeniul securității este o parte esențială a formării angajaților și este cel mai eficient mod de a menține companiile în siguranță de la intruși și hackeri.
- Pierderi de date - O "scurgere" de date poate fi intenționată sau neintenționată și se refară în general la un set de date confidențiale și poate genera consecințe grave pentru individ și pentru organizație
- Ransomware - este malware sau un virus care criptează datele de pe computer sau în unele cazuri o rețea întreagă. Nu puteți accesa fișierele sau imaginile până când veți plăti răscumpărarea, sau uneori chiar și după.
- Blocarea telefonului - Documentele, notele, e-mailurile și persoanele de contact pot fi furate dacă lăsați telefonul deblocat.
Este important să protejați informațiile. Păstrați întotdeauna telefonul blocat când nu îl folosiți.
- Vishing - este echivalentul termenului "phishing" atunci când implică telefonul mobil. Este descris ca act de utilizare neautorizată a telefonului mobil în încercarea de a înșelă utilizatorul să ofere informații confidențiale precum date sensibile, date financiare, ducând până la furtul de identitate.
- Calculator nesupravegheat - Lăsând computerul deblocat și
nesupravegheat poate provoca repercursiuni grave dacă altcineva are acces la el.
- Aceeași parolă - Gestionarea mai multor parole poate fi dificilă,
dar este esențial să utilizați diferite parole pentru diferite conturi sensibile.
- Atașamente rău-intenționate - Emailul este un instrument foarte important în comunicare, atât pentru persoanele fizice cât și pentru organizațiile de afaceri. Fișiere atașate reprezintă un potențial risc de securitate. Ele pot conține viruși prin intermediul cărora expuneți neintenționat datele dumneavoastră sau ale companiei.
- Medii de stocare mobile - sunt un mod deja obișnuit de a transfera
cantități mari de date. Riscurile sunt numeroase, inclusiv pierderi de date, trasferul neintenționat de viruși malware care conduc astfel la daune, de multe ori ireparabile.
- USB Key Drop - este un mecanism utilizat de heakeri. Aceștia lasă pe stradă sau pe o masă aleasă la întamplare un memory stick care odata introdus în computer le oferă acestora acces nelimitat.
- Social Engineering - presupune manipularea și uneri șantajarea persoanelor și obținerea informațiilor confidențiale pentru a fi folosite în scopuri frauduloase, forțând astfel oamenii să încalce procedurile de securitate.
- Dumpster Diving - este o tehnică pentru a prelua informații sensibile care ar putea fi folosite pentru a accesa de exemplu o rețea de calculatoare. În gererel se referă la căutarea prin gunoi a documentelor distruse parțial și din care se pot recupera informații.
- Spyware - Spyware și malware sunt tipuri de software care permit unui hacker să obțină informații transmise direct din computerul infectat.
- Chain Mail - este corespondență în lanț, astfel că un se încearcă convingerea destinatarului de a transmite un mesaj și altora. Riscul este ca adresele de e-mail să fe distribuite către o persoană rău intenționată, iar în email poate fi incluse link-uri către malware.
- CEO Scam - este atunci când un hacker se dă drept o altă persoană, de exemplu un director și păcălește angajați pentru a
transmite de informații sensibile.
- Politica biroului curat - Menținerea unui birou curat presupune a nu lăsa documentele sensibile pe birou, nu se scriu parole pe bilețele lipite de monitor, se șterg informațiilor delicate de pe tabla, și nu se lăsă cardurile de acces de unde ar putea fi furate.
- Actualizarea aplicațiilor software - Mențineți sistemele de operare și aplicațiile software actualizate la zi pentru a vă apăra împotriva virușilor sau a programelor spyware sau alte tipuri de malware.
- Parola - Alegerea unei parole bune este necesară. Alegeți una care are cel puțin 8-10 caractere și folosiți cel puțin un număr, o litară mare, o literă mică și un caracter-simbol special. Nu utilizați niciun cuvânt care să fie în dicţionar. Alegerea unei parole bune este doar începutul. Utilizați parole diferite pentru diferite conturi și nu lăsați parolele acolo se poate fi ușor găsite. Nu trimiteți parole prin
e-mail sau să le stocați într-o locație nesigură.
- Documentele imprimate - Imprimarea documentelor și lăsarea acestora în imprimantă poate oferi altor persoane acces neautorizat la date confidențiale.
- Tailgating - uneori numit piggybacking, este o încălcare a securității fizice în cazul în care o persoana neautorizată se folosește de o alta persoană autorizată să intre într-un spațiu securizat.
- Phishingul - este practica frauduloasă care presupune trimiterea de e-mailuri care par a fi trimise de către companii renumite pentru a pacăli persoane fizice să dezvăluie informații personale,
cum ar fi parolele și numerele cărților de credit.
- HTTPS - Hyper Text Transfer Protocol Securizat
(HTTPS) este o variantă a protocolului web standard de transfer de date (HTTP) care are suplimentar setări de securitate.
- Spear Phising - este practica de a studia indivizii și obiceiurile lor, apoi folosirea acelor informații pentru a trimite e-mailuri specifice
de la o adresă cunoscută sau de încredere pentru a obține informații confidențiale.
- Shoulder Surfing - este un tip de Social Engineering prin cate o persoană obține informații privind identitatea, diverse coduri, parole și alte informații confidențiale prin supravegherea "peste umărul" victimei.
- Free WiFi - Oamenii folosesc de obicei WiFi gratuit fără să se gândească. Una dintre cele mai frecvente atacuri prin rețelele WiFi gratuite se numește atac de tip Om-in-Mijloc (MitM) unde un hacker poate monitoriza tot traficul și poate obține informații sensibile.
- Home WiFi - Rețelele de la domiciliu sunt adesea nesecurizate, de multe ori sărind peste acest pas fin grabă. Majoritatea oamenilor nu iau nici un fel de măsuri pentru a asigura rețeaua lor de la domiciliu, făcându-le vulnerabile pentru hackeri.
- Keylogger - este un software rău intenționat sau un dispozitiv hardware ( de exemplu un memory stick) care înregistrează fiecare apăsare de tastă pe care o faceți pe o tastatură.