Cel mai mare furt de date din Balcani! Mai mulți români afectați.

Brese de securitate

Vizualizari: 1701

Facebooktwittergoogle_plusredditpinterestlinkedinmail

După cum probabil ați tot citit în ultimele zile, vecini noștri de la sud de Dunăre, s-au confruntat cu cea mai mare breșă de securitate din Europa de Est: date personale, incluzând informații financiare a peste 5 milioane de persoane au fost sustrase din bazele de date ale le Agenției Naționale de Administrare Fiscală, autoritatea fiscală a Bulgariei, omologul bulgar al ANAF-ului nostru.

Conform autorităților bulgare, din populația de 7,1 milioane de bulgari, 70% dintre aceștia au aflat că datele pe care instituția respectivă le stoca, au căzut prada unui atac cibernetic.

Cum de au scapăt ceilalți 30%? Spre norocul lor, ANAF-ul bulgar deține doar date despre  contribuabili, din această categorie nefăcând parte, sper exemplu, persoanele minore. 

Câți români sunt afectați de acest incident?

Gabriel Puiu, expert în securitate cibernetică, a confirmat, într-un interviu acordat pentru pentru B1.ro, că mii de români care își au firma sau mașina înregistrată în Bulgaria se numără printre „victimele” acestui atac informatic.

"Cei care au înmatriculată mașina în Bulgaria au toate datele din buletin, plus probabil adresa curentă, probabil și numărul de telefon, în baza de date de acolo. Așa că cei care vor pune mâna pe date, le pot folosi, pentru că aceste date nu râmân într-un singur loc, ele ajung pe internet pe partea publică”.

„Sunt cazuri similare acum cu oameni care trimit mailuri, cu facturi false, cu linkuri, ei de acolo au mailurile din astfel de breșe. Când cineva pune mâna pe această breșă, va vedea că e și România pe acolo, va sorta și va extrage fiecare român și cel mai probabil, se vor trezi sunați cu tot felul de metode de păcăleală, de social engineering o să li se spună diferite chestii o să li se ceară tot felul de date și probabil vor fi păcăliți în diverse moduri", a declarat Gabriel Puiu.

Cum a început „telenovela”?

Conform celor de la NY Times, vulnerabilitatea sistemului autorității fiscale bulgare a fost exploatată încă din luna iunie și a continuat până în momentul în care a fost făcută publică, la începutul acestei săptămâni, după ce posturile de știri din Bulgaria au primit un e-mail (venit de pe o de e-mail rusească, Yandex), prin care o persoană își asuma „meritele” pentru nemilosul atac. 

"Valoarea acestui tip de date ar putea varia de la 10 dolari la câteva sute pe identitate. Ati asistat la un atac cibernetic care ar putea fi în valoare de 200 milioane de dolari" a declarat David Balson, Directorul de informații al Ripjar, o companie de securitate din Marea Britanie.

În același timp, prin prisma prevederilor Regulamentului privind protecția datelor (faimosul GDPR), ANAF-ul bulgăresc se poate aștepta la o amendă de 20 de milioane de euro pentru nerespectarea articolului 32 din GDPR, mai exact neimplementarea măsurilor tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării.

De ce consideră bulgarii că în spatele atacului s-ar afla Rusia

Deși poliția bulgară a declarat că ancheta este încă în faza incipientă, unii oficiali au sugerat că Rusia ar fi putut fi în spatele atacului, ca represalii pentru realizarea celei mai mari achiziții de echipament militar, cheltuind aproape 1,3 miliarde de dolari pentru a cumpăra opt avioane de luptă F-16 din Statele Unite.

Mladen Marinov, Ministrul de Interne al Bulgariei, a declarat că autoritățile trebuie să ia în considerare contextul politic în care a avut loc incidentull, o referire clară la relațiile Bulgariei cu Rusia.

Se cauta un țap ispășitor?

Investigația privind furtul informațiilor personale a aproape tuturor adulților din Bulgaria a condus la arestarea unui tânăr programator (20 de ani), angajat al unei firme de securitate cibernetică, a anunțat miercuri poliția bulgară. 

În ciuda acestei arestări, au existat unele speculații conform cărora furtul de date ar fi fost, de fapt, un atac ce poartă numele de "pălărie albă", adică un „ethical hacking” comis cu scopul de a expune vulnerabilitățile rețelelor guvernamentale și de a crea presiuni publice pentru remedierea acestora.

Cu toate acestea, avocatul domnului Boikov (tânărul suspectat pentru atac), a declarat că 

acesta a fost denunțat politiei de către o companie concurențială în domeniul securității informatice, susținând că acesta nu ar avea nici o implicare în atacul asupra sistemelor informatice ale ANAF-ului bulgar. Acesta a mai adăugat ca Boikov este un expert în domeniul său și nu ar fi fost niciodată prins dacă ar fi dorit să comită un asemenea atac. 

După ce a fost arestat suspectul, mass-media a primit un nou e-mail.

Marți, în aceeași zi în care suspectu la fost reținut, buletinele de știri bulgare au primit un alt e-mail de pe aceeași adresă rusească. Presa bulgară scrie că autorul critică guvernul bulgar, ironizându-i chiar, susținând că securitatea cibernetică a bulgarilor este o glumă. 

Acesta le-a transmis că autoritățile bulgare nu îl vor găsi niciodată. "Ei vor acoperi doar adevărul real", a scris presupusul hacker. 

Ce rămâne de făcut după ce ți-au fost furate datele a 70% din populația tării?

Imediat după răspândirea în media a știrii, Premierul bulgar Boiko Borisov a convocat o reuniune de urgență a tuturor serviciilor din domeniul aplicării legii, în vederea examinării riscurilor la adresa securității naționale.

Poate cea mai importantă măsura a fost decizia Guvernului de a solicita ajutorul agenției europene în domeniul securității cibernetice.

Este de așteptat ca sistemele critice din Bulgaria să înregistreze o creștere a numărului atacurilor cibernetice, în urma „succesului” răsunător al acestui atac, instituțiile Bulgare dovedindu-se a fi nepregătite în prevenirea și combaterea unor astfel de incidente.

ONG-urile sar în ajutorul victimelor acestui furt de date

Conform estimărilor, mii de români care își au firma sau mașina înregistrată în Bulgaria sunt „victimele” acestui atac informatic, având dreptul conform art.77 din Regulamentul 679/2016 (GDPR) să depună o plângere la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și la Autoritatea de Supraveghere din Bulgaria (Комисия за защита на личните данни).

ASCPD militează pentru îmbunătățirea gradului de conștientizare ale persoanelor vizate cu privire la tehnologiile și legile care pun în pericol viață privată, pentru a se asigura că publicul este informat și implicat. În cazul acestui incident de securitate deosebit de grav, membrii ASCPD au decis să ofere asistență și consiliere de specialitate gratuită persoanelor vizate afectate.

Accesând site-ul asociației (https://ascpd.ro/consiliere//) fiecare persoană din România care se află în evidențele Agenției Naționale de Administrare Fiscală din Bulgaria, poate să solicite ajutorul ASCPD, prin completarea unui simplu formular. Membrii ASCPD vor asista fiecare solicitant în procesul de exercitare a drepturilor care provin din Regulamentul UE 679/2016. 

Uniunea Europeana se înarmează pentru a lupta cu astfel de atacuri

Regulamentul 679/2016 (GDPR) este poate cea mai cunoscută măsură legislativă la nivel european privind protecția persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal, dar nu este singurul as din mâneca UE în  lupta cu pericolele pe care era digitala le-a creat.

Directiva NIS (Networking Information Security) este unul dintre răspunsurile Uniunii Europene la atacurile cibernetice tot mai virulente și care profită de vulnerabilitățile infrastructurilor IT depășite din punct de vedere tehnologic.  Scopul ei este creșterea încrederii cetățenilor și stimularea dezvoltării Pieței Digitale Unice. 

Află mai multe despre directiva NIS într-un articol publicat pe dpoconsulting.ro

Impactul directivei NIS va consta în crearea de structuri și mecanismele necesare pentru cooperarea strategică și operațională între statele membre, pentru a asigura creșterea nivelului de rezistență al rețelelor și al sistemelor informatice de pe teritoriul Uniunii Europene.

O altă „armă” a Uniunii Europene este Regulamentul (UE) 2019/881 al Parlamentului European și al Consiliului din 17 aprilie 2019 privind certificarea securității cibernetice pentru tehnologia informației și comunicațiilor, cunoscut drept Legea privind securitatea informatică (Cybersecurity Act), care stabilește cadrul UE pentru certificarea securității informatice, care promovează securitatea informatică a produselor și serviciilor digitale în Europa. 

Găsești mai multe despre Cybersecurity Act într-un alt articol publicat pe dpo-net.ro.

Cert este că toate aceste directive și regulamente europene, aplicabile în întreg Spațiul Economic European,  urmăresc întărirea sistemului de apărare, dezvoltând un cadru omogen și coerent în întreaga UE și instaurând mecanisme de cooperare extrem de importante în special în situațiile de criză. Deși sunt în vigoare în acest moment, acestea încă nu au ajuns la maturitatea absolută, însa au impus un traseu care va trebui inevitabil urmat și care va împinge atât operatorii cât și instituțiile europene să depună eforturile necesare pentru a preveni astfel de atacurile informatice.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Sursa Wall-Street.ro bănuită de Nemo Express că a participat la atacul cibernetic

Brese de securitate

Vizualizari: 811

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Într-un drept la replică solicitat portalului Wall-Street.ro, Nemo Express confirmă un atac cibernetic care a avut drept tinta platforma myAWB, sectiunea de Confirmari, afirmând că scopul evident a fost de a compromite imaginea companiei.

"Prin intermediul unui program informatic a fost exploatata o functie a website-ului, cea de afisare a confirmarilor de primire pentru trimiterile postale livrate catre destinatar. Scriptul respectiv pornește de la un numar de AWB și aduna sau scade cu 1, incercand sa preia tracking-ul afisat pe site al numarului generat sperand ca este un AWB valabil. In momentul in care este gasit un AWB valabil se extrage automat link-ul valabil al confirmarii. Acest gen de atac poarta numele de BRUTE FORCE." transmit reprezentanții Nemo Express.

Sursa Wall-Street.ro bănuită că a participat la atacul cibernetic

Informatiile din platforma online se afla in stare de confidentialitate după ce "specialistii IT angajati de NemoExpress au verificat, din punctul de vedere al securitatii, toate fisierele platformei și au luat masurile ce se impun, iar in acest moment atacul a fost oprit. O prima concluzie ar fi ca nu orice om obisnuit poate intra in posesia unor astfel de informatii, ci numai o persoana cu cunoștințe informatice si cu tehnici speciale. Prin urmare, informația conform careia lista cu confirmarile de primire este „la liber” pe internet este eronata. Accesul a devenit posibil numai pentru un atacator, la cateva AWB-uri si numai pentru o perioada limitata de timp. Ceea ce ne duce cu gandul ca sursa dvs (pentru ca evident ca este totul pe surse...) ar putea avea o legatura directa cu atacul informatic."

Care au fost măsurile luate de operator ?

Nemo Express a dispus suplimentarea masurilor de securitate ale platformei si afirma ca vor informa clientii ale caror AWB—uri ar fi putut fi descarcate sau vizualizate de catre hackeri.

In urma raportului final de analiza a acestui atac cibernetic, cu sprijinul unei firme de avocatura vor intreprinde o serie de actiuni impotriva celor care au incercat intr-o oarecare masura sa aduca prejudicii de imagine companiei. Compania solicita si ajutorul organelor abilitate pentru identificarea vinovatilor, mentionand ca in intervalul prevazut de lege vor notifica persoanele vizate si autoritatile in legatura cu aceasta situatie.

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

Baza de date a unui lanț de bordeluri a fost compromisă

Brese de securitate

Vizualizari: 1993

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Nu te panica, este vorba despre un lanț de bordeluri din Spania, așa că n-ai de ce să îți faci griji dacă n-ai mai ajuns de mult prin Peninsulă Iberică. Totuși știrea este pe cât se poate de serioasă iar dacă analizăm puțin volumul și sensibilitatea datelor „scăpate”, parcă nu nu se mai pare atât de amuzant.

Cum a fost posibilă această breșă

Conform celor de la PrivSec Report, cercetătorul de securitate, Bob Diachenko a descoperit o bază de date care expunea informații extrem de sensibile. Baza de date aparținea unei companii spaniole care administrează un lanț de „cluburi de bărbați” răspândite în toată Spania. 

3.350 de angajate și 4.636 clienți expuși

Baza de date conținea informații extrem de sensibile, inclusiv profiluri complete a 3.350 de fete, incluzând printre altele numele lor reale, date de naștere, naționalitatea, cărțile de identitate scanate.

Baza de date conținea, de asemenea, 4.636 de comentarii ale clienților, cu IP-urile, adresele de e-mail, nume și caracteristicile dispozitivelor utilizate. 

Pe lângă datele menționate mai sus, datele financiare ale companiei, parole de admin, log-uri și altele asemenea par de-a dreptul neinteresante.

Imediat ce a descoperit breșa, Diachenko a notificat compania, notificare în urma căreia a închis tot accesul la baza de date expusă.

Considerând daune reputaționale, fizice sau emoționale pe care persoanele vizate de această breșă le pot suferi, Diachenko a ales să nu facă public numele companiei care administrează acele cluburi. Dar mă întreb eu.. or fi oare atât de multe astfel de lanțuri de cluburi încât să nu îți dai seama despre cine este vorba?

„Singurul meu obiectiv este să nu mă concentrez asupra naturii datelor expuse, ci a igienei cibernetice în general și să subliniez din nou importanța păstrării securizate a datelor sensibile - în special a celor care ar putea fi ușor manipulate dacă / atunci când sunt expuse."

„Pericolul de a avea o bază de date MongoDB sau alte baze de date similare NoSql este imens”, a subliniat Diachenko.

„Configurația publică permite posibilitatea ca cybercriminalii să gestioneze întregul sistem cu privilegii administrative complete. Odată ce programul malware este în loc, infractorii ar putea accesa de la distanță resursele serverului și chiar să lanseze o execuție de cod pentru a fura sau distruge complet orice date salvate pe care le conține serverul. "

Las` că le avem și noi pe ale noastre

Acum trei zile scriam despre o breșă de securitate suferită de o firmă de curierat, breșă în urma căreia documentele de transport, care conțin date personale expeditorilor și ale destinatarilor, au fost făcute publice, putând fi accesate de toată lumea care intra pe site-ul companiei. Pe aceste documente se regăseau nume, adrese poștale, numere de telefon, specimene de semnături, informații privind comenzile efectuate și conținutul coletelor precum și seria și numărul actului de identitate și/sau CNP-ul persoanei care le-a recepționat. Destul de multe informații de doar juma` de foaie, am putea spune.

Citește mai multe despre breșă de la Nemo Express aici

Iar amenzile au început să curgă

Site-ul avocatoo.ro, care printre altele oferă și servicii de consultanță GDPR,  a fost „victima” unei situații similare, datele personale ale clienților (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate) care au efectuat tranzacții pe site în perioada 10 decembrie 2018 – 1 februarie 2019 fiind accesibile public. 

Pentru această breșă, operatorul a fost sancționat cu amendă de aproximativ 3.000 euro pentru lipsa „măsurilor tehnice și organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării”.

Citește mai multe despre breșă înregistrată de avocatoo.ro aici 

Un lucru este cert! 

Puteți să vă îngropați în hârtii de tot felul, politici, contracte, proceduri, să introduceți disclaimere peste tot și orice vă mai trece prin cap, însă atâta timp cât toate acestea nu sunt însoțite și de măsurile tehnice adecvate, aveți toate șansele să le călcați pe urme celor de mai sus. 

Dacă „băiatul de la IT” vă spune că totul este protejat, nu vă lăsați pradă tentației de a evita costul unui specialist. Într-adevăr, orice măsură suplimentară costă, dar ați calculat vreodată cât v-ar putea costa o eventuală breșă? Ați luat în calcul costurile reputationale? Dar faptul că puteți risca să vi se ceară daune în instanță?

Iți plac articolele dpo-NET.ro? Poți fi la curent cu toate aceste noutăți dacă ne urmărești zilnic pe paginile noastre de LinkedIn sau Facebook. 

NOU! Consultă Registrul Amenzilor GDPR pentru mai multe informații despre sancțiunile acordate în baza Regulamentului 2016/679


Acest articol este protejat de către dispoziţiile legale incidente și este interzisă copierea, reproducerea, recompilarea, modificarea, precum şi orice modalitate de exploatare a acestuia. Articolele publicate pe DPO-NET.RO pot fi preluate doar în limita a maxim 500 de caractere, fără a depăşi jumătate din totalul de caractere, şi cu citarea obligatorie a sursei, cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor. Dacă sunteţi interesaţi de preluarea ştirilor și articolelor publicate pe DPO-NET.RO, vă rugăm să ne contactati.

A început GDPR Summer Challenge 2019!

68 de participanți din 14 echipe au luat startul in concursul GDPR Summer Challenge 2019. GDPR Summer Challenge este o simulare de caz la care participă mai multe […]

AWB-urile NEMO Express sunt publice!

Portalul Wall-Street.ro a dezvăluit astăzi, 9 august 2019, o posibilă breșă de securitate în cadrul companiei de curierat Nemo Express, datele de pe documentele de transport (AWB-urile) ale […]

Alertă Bitdefender: vulnerabilitatea procesoarelor Intel

Bitdefender, companie românească producătoare de soluții de securitate cibernetică și totodată una dintre cele mai apreciate la nivel mondial, au emis astăzi o alertă ca urmare a descoperirii  […]

GDPR Summer Challenge este pregătit de lansare!

Sâmbătă, 10 August 2019, începe primul concurs național din România destinat aprofundarii și mai ales verificării cunoștințelor în domeniul protecției datelor. Scopul este ca participantii să dobândească cât […]

Te-ai înscris la GDPR Summer Challenge?

Peste 50 de persoane s-au înscris până acum în concursul „GDPR Summer Challenge”, motiv pentru care organizatorii au decis creșterea numărului de membrii într-o echipă la 5 persoane, […]

Înscrie-te acum la GDPR Summer Challenge!

Acceptă GDPRovocarea acestui sfârșit de vară! 5 echipe formate din pasionați de GDPR vor concura pentru titlul de GDPR Summer Challenge Champion 2019. Nu este doar un concurs, […]

Simona Halep a căzut „victimă” hackerilor

Conform digisport.ro, contul de Instagram al campioanei de la Wimbledon, Simona Halep, a fost spart de hackeri, fiind postat un mesaj prin care se cerea bani in numele […]

Scranos schimbă metoda de atac. România rămâne ținta preferată

Atacatorii care puseseră tunurile pe țări în care pirateria e în floare au schimbat mecanismul de infectare a victimelor ca să se ascundă și să își asigure persistența […]

Prima amendă GDPR în România

UNICREDIT BANK este prima organizație din România care este sancționată de autoritatea națională pentru încălcarea prevederilor Regulamentului general privind protecția datelor Conform comunicatului publicat azi de site-ul ANSPDCP […]

Ne lasă GDPR-ul să facem poze la evenimente școlare ?

Fotografierea la școală – În cazul în care bunul simț intră în joc Introducerea Regulamentului general privind protecția datelor (GDPR) a determinat o schimbare semnificativă a percepției populației […]

Ce facem după atacutile cibernetice asupra spitalelor românești? Nimic?

Spitalele sunt o țintă a atacurilor ransomware în toată lumea, nu doar în România. Foarte multe astfel de incidente au fost raportate de spitale în ultimii ani și […]

ICO: Amendă pentru mesaje de marketing fără consimțământ

Conform unui comunicat emis azi de Autoritatea de supraveghere a Marii Britanii (ICO), aceasta a dispus sancționarea companiei de telecomunicații EE Limited cu o amendă în valoare de […]

Un val de atacuri cibernetice vizează instituții sanitare din România

Din notificările primite, CERT-RO a identificat o creștere semnificativă a atacurilor cu aplicații malițioase de tip ransomware la nivel național în ultima perioadă, observându-se că, pe lângă utilizatorii […]

Amendă 20.000 € pentru monitorizarea a 9 angajați

Autoritatea de supraveghere franceză, Commission Nationale de l’Informatique et des Libertés (CNIL), anunță printr-un comunicat din data de 18 iunie 2019, o noua amendă privind prelucrarea ilegală a […]

400000 EUR amendă GDPR acordată în 6 iunie 2019

La 6 iunie 2019, Autoritatea Franceză pentru Protecția Datelor („CNIL”) a anunțat că a aplicat o amendă de 400.000 de euro pentru SERGIC, un furnizor de servicii imobiliare din Franța, pentru […]

Curtea Constituțională a fost ţinta unui atac informatic

Conform Agerpres, în data de 14 iunie 2019, site-ul Curţii Constituţionale a României a fost ţinta unui atac informatic, nemaiputând fi accesat pentru o perioadă. În locul paginii […]

ALERTĂ DE FRAUDA către toți cetățenii, emisă de ANAF

Printr-un comunicat de presă publicat ieri (13.06.2019) pe site-ul său, Agenția Națională de Administrare Fiscală atrage atenția contribuabililor asupra unei posibile fraude care se derulează în prezent. În […]

Ce sancțiune a primit LaLiga pentru spionarea a 4 milioane de spanioli în timpul meciurilor de fotbal?

Ți-ai fi putut imagina vreodată că cineva ar fi interesat sa te spioneze în timp ce te uiți la un meci de fotbal și savurezi o bere rece […]

Prima amendă GDPR în Belgia a fost aplicată unui primar

Autoritatea de supraveghere din Belgia a impus prima penalizare financiară de la intrarea în vigoare a GDPR, ne informează Comitetul European pentru Protecția Datelor. Probabil mulți dintre cititori […]

O vulnerabilitate severă în procesoare Intel permite sustragerea datelor din calculatoare

Specialiștii în securitate informatică de la Bitdefender au identificat o vulnerabilitate la nivel de hardware în procesoarele Intel care, pe fondul deficiențelor de proiectare, permite furtul de date […]