Official Publication: ENTRYRISE S.R.L
Scope: Public notification on data breach and incorrect handling of breach
Date of the breach: February 28, 2023
BREACH Details:
- 37,483 lawyer personal identification numbers (CNPs), and work email addresses, full names, bars associated to.
- Risk of account theft on IFEP
- Risk of deanonymizing votes for Bar Association votes.
RISKS:
- Account theft (IFEP)
- Risk for deanonymization of Bar Association Dean votes through IFEP platform.
数据泄露
2023 年 2 月 28 日,IFEP 私下发现并报告了数据泄露事件,以及该机构对事件处理不当
— Stefan-Lucian Deleanu
数据泄露
更新 #1: 2024年6月1日 00:48
发布细节
2023 年 2 月 28 日,IFEP 平台在合作伙伴之间的协作下建立 Intra Connect SRL 请提供要从中文 未定义 (全国律师协会)
随着以下信息公开:
脆弱性难度 - 低
该漏洞影响了一个公开可访问且被 Google 索引的端点,允许攻击者下载所有律师、其对应的律师协会、工作地址和相关的个人身份验证号码(PIN)的列表。
The endpoint: 字符串在原始语言中:
采取的措施
我们立即向 IFEP 的帮助台电子邮件报告了这一事实,即一个私有端点被谷歌索引,以及它允许未经授权访问私有信息的事实。
我们证实了 在一天内实施了一个修复程序,因为发现了这个漏洞.
我们没有收到任何来自罗马尼亚国家商会(UNBR)、IntraConnect S.R.L.或其他负责机构的通知,详细说明所采取的措施。
我们没有注意到联合国布隆迪办事处对数据丢失范围的任何官方披露。
发现漏洞的日期与提出建造一座 UNBR 云法律服务,并且可能为了避免加剧该职业内部的紧张讨论主题而未披露漏洞。
我们在研究 IFEP 网站的数据处理人员以及管理者和所有者的过程中发现了这个漏洞,这与上述立法提案中讨论的缺乏透明度有关。
与我们之前发布的类似 识别、报告和不报告有关 CECCAR 会计师数据库的违规行为,今天我们提出一个类似的但更受限制的情况,影响着所有罗马尼亚律师。
与 CECCAR 违规事件不同,由于受影响信息范围较小,此次事件在身份盗用方面的限制更多。
由于法律职业的性质,我们相信诸如个人身份号码(CNP)之类的信息本应可供客户使用。然而,我们相信风险稍微低一些,因为这是经过同意的。
虽然这个漏洞的利用成本也很低,因为它涉及访问公开索引的、以前可公开访问的未认证端点,但它需要攻击者手动交互才能利用这个漏洞。
之前报告的 CECCAR 漏洞导致未经授权地披露个人身份证件上几乎所有数据,并将数据发送到应用程序的正规用户和恶意用户手中。
我们认为这次事件与 CECCAR 事件不同,在现实世界中遭到滥用的可能性要小得多。
违约期
虽然我们无法验证漏洞的严重程度,但我们相信该漏洞自 IFEP 开发初期就存在,我们可以追溯至至少 2021年4月
我们估计该漏洞至少两年没有被发现、被利用,也没有被披露。
风险评估和 CVSS 详细信息 - 5.5/10
根据 CVSS 加权评分系统,根据严重性、影响和可利用性对漏洞进行了评估。估计的 CVSS 分数的:
GDPR报告
我们无法找到任何公开的报告或披露来遵守 GDPR 披露要求。
尽管《通用数据保护条例》(GDPR)在个人权利受侵犯风险较低的情况下提供了免于披露的例外情况,但我们认为在人们关心数据隐私的领域,透明地通知相关方风险以及采取的措施非常重要。
INCORPO.RO - 正式發布
我们相信每个人都应该了解他们的数据被处理的程度。虽然我们支持处理数据,并且我们自己是一个使用分析来帮助塑造我们的产品的平台,但我们认为这应该负责任地进行,并进行适当的披露。
在近一年内没有采取任何行动来通知相关方,以及最近披露的 IFEP 数据泄露事件,我们相信向相关方披露他们所面临的风险是合理的。
本頁面