Săriți la conținutul principal

IFEP - Breșa de date

Notificare publică privind încălcarea datelor și gestionarea necorespunzătoare a încălcării de către IFEP, descoperită și raportată în mod privat la 28 februarie 2023

Stefan-Lucian Deleanu

Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023

BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.

RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.

Actualizare #1: 06.01.2024 00:48

Detalii lansare

La 28 februarie 2023, IFEP, o platformă construită în colaborare între Intra Connect SRL and and Nu sunt sigur ce v (Asociația Națională a Avocaților)

Cu următoarele informații făcute publice:

  1. Nume complet: Identificarea tuturor avocaților înregistrați la o bară din România.
  2. Cod Numeric Personal (CNP): Un identificator unic care conține date sensibile, cum ar fi data nașterii, genul, județul de naștere, etc.
  3. Adresa de e-mail de serviciu: E-mail-urile trimise de asociația de barouri către avocați.
  4. Număr de legitimare: Numărul de serie pentru legitimare, care ar fi putut fi dedus direct printr-un instrument de pe site-ul IFEP.

Vulnerabilitate dificultate - scăzută

Vulnerabilitatea a afectat un punct de acces deschis și indexat de Google, permițând atacatorilor să descarce o listă cu toți avocații, barourile corespunzătoare, adresele lor de lucru și PIN-ul asociat (CNP).

Nu există un echivalent idiomatic în limba română pentru fraza dată.

  • Nu a avut nicio măsură de autentificare sau autorizare
  • Nu ar fi trebuit să fie accesibil public, deoarece nu este utilizat în aplicația IFEP.
  • Era vizibil public și indexat de Google Search.

Pași întreprinși

Am raportat imediat faptul că un endpoint privat a fost indexat de Google, precum și faptul că a permis accesul neautorizat la informații private, către adresa de e-mail de asistență asociată cu IFEP.

Verificăm s-a implementat o rezolvare în aceeași zi de la notificarea vulnerabilității.

Nu am primit nicio notificare de la UNBR, IntraConnect S.R.L. sau de la orice altă entitate responsabilă cu privire la pașii întreprinși.

Nu am observat nicio dezvăluire oficială din partea UNBR cu privire la amploarea pierderii datelor.

Data la care a fost descoperită vulnerabilitatea coincide (dar nu este legată) de data propunerii de construire a unui UNBR cloud pentru avocați, și este posibil ca vulnerabilitatea să nu fi fost dezvăluită pentru a nu escalada o discuție deja tensionată în interiorul profesiei.

DISCLOSURE:

Nu am găsit vulnerabilitatea în contextul lipsei de transparență discutate în legătură cu propunerea legislativă menționată mai sus, cercetând procesatorul de date, precum și managerul și proprietarul site-ului IFEP.

Similar to our previous release of the identificarea, raportarea și neraportarea încălcării privind baza de date a contabililor CECCAR, astăzi prezentăm un caz similar, dar mai restrictiv, care afectează toți avocații români.

Spre deosebire de încălcarea CECCAR, acesta este mai limitat în ceea ce privește furtul de identitate, din cauza scopului redus al informațiilor afectate.

În plus, din cauza naturii profesiei juridice, credem că date precum numerele de identificare personală (CNP) ar fi deja disponibile clienților. Cu toate acestea, prin consimțământ, așa că credem că riscurile sunt ușor mai mici.

În timp ce această vulnerabilitate necesită, de asemenea, un efort redus, deoarece implică accesarea unui punct final public, anterior disponibil în mod deschis, fără autentificare, este necesară interacțiunea manuală a unui atacator pentru a exploata această vulnerabilitate.

Vulnerabilitatea CECCAR raportată anterior a dus la divulgarea neautorizată a aproape tuturor datelor prezente pe un document de identificare personală, cu date trimise atât utilizatorilor normali, cât și celor malițioși ai aplicației.

Spre deosebire de breșa CECCAR, considerăm că este semnificativ mai puțin probabil să fi fost abuzată în sălbăticie.

Perioada de încălcare

În timp ce nu am putut valida amploarea vulnerabilității, credem că breșa a existat de la dezvoltarea inițială a IFEP, pe care am urmărit-o până la cel puțin Aprilie 2021.

Estimăm că vulnerabilitatea nu a fost descoperită, exploatată în sălbăticie sau dezvăluită timp de cel puțin doi ani.

Evaluarea riscului și detaliile CVSS - 5.5/10

Vulnerabilitatea a fost evaluată pe baza criticității, impactului și exploatabilității utilizând metrica de scor CVSS, cu unScor CVSS estimatde:

  • CVSS Base Score:7.5/10
  • Impact Subscore: Subscorul de impact:3,6/10
  • Subscorul de exploatare: 3.9/10
  • Scor temporal CVSS:7.2/10
  • Scor CVSS de mediu: 5.5/10
  • Subscorul modificat de impact: 1,8/10
  • Scor general CVSS: 5.5/10

Raport GDPR

Nu am putut găsi niciun raport deschis sau divulgare pentru a respecta cerințele GDPR de divulgare.

În timp ce Regulamentul GDPR prevede o excepție de la divulgarea obligatorie în cazurile de risc scăzut de încălcare a drepturilor personale, considerăm că este transparent să notificăm părțile implicate cu privire la riscuri și la măsurile luate, cu atât mai mult într-un domeniu în care oamenii își fac griji cu privire la confidențialitatea datelor lor.

INCORPO.RO - lansare oficială

Credem că fiecare persoană ar trebui să fie conștientă de modul în care datele sale sunt procesate. Deși suntem pro-procesare și, ca platformă, utilizăm analize pentru a ne îmbunătăți produsele, credem că acest lucru trebuie făcut în mod responsabil și cu divulgări corespunzătoare.

Fără a se lua nicio măsură pentru a notifica părțile implicate de aproape un an, și având în vedere dezvăluirea recentă a scurgerii de date IFEP, considerăm că este rezonabil să le dezvăluim părților implicate riscurile la care au fost expuse.