Un tânăr IT-ist şi student la Universitatea din Cluj a semnalat public breşe de securitate în ceea ce priveşte Tabloul Avocaţilor, dar şi CECCAR, organismul care îi reprezintă pe contabilii autorizaţi din România. El afirmă că date precum numele şi prenumele, codul numeric personal adresa de e-mail, dar şi detalii profesionale aparţinând profesioniştilor din cele două domenii, zeci de mii la număr, au fost accesibile online şi precizând, în cazul Tabloului Avocaţilor, că este posibil ca situaţia în care aceste date să fi putut fi accesate de public să fi durat ani la rând. Informaţiile făcute publice de tânăr sunt confirmate de o avocată, care a făcut public faptul că avocaţi din România au primit un e-mail prin care erau anunţaţi că publicul a avut acces la datele lor din Tabloul Avocaţilor.
Ştefan Lucian Deleanu, IT-st şi student la Facultatea de Drept a Universităţii din Cluj, a făcut publice, la începutul acestui an, pe Facebook, „notificări” privind breşe de securitate în ceea ce priveşte datele avocaţilor aflate pe platforma IFEP şi datele contabililor autorizaţi înscrişi în Corpul Experţilor Contabili şi Contabililor Autorizaţi din Romania (CECCAR).
Prima notificare a vizat CECCAR şi a fost făcută în pe 3 ianuarie.
„Pe data de 7 Septembrie 2023, toţi contabilii din cadrul CECCAR (Contabili Experţi, Contabili Autorizaţi, foşti contabili încă în baza de date) au suferit o breşă de date care a făcut datele lor personale publice. În mod ideal şi legal, trebuia să fiţi notificaţi de CECCAR, însă o notificare din partea lor nu a existat. ANSPDCP nu a fost notificată nici ea. Aşa că am să fac eu treaba CECCAR şi am să notific aici contabilii despre ce date au ajuns «gratuit» pe internet. Printre datele afectate menţionăm: Codul Numeric Personal (CNP), nume şi prenume, data şi locul naşterii, adresa (domiciliu), adresa (de serviciu), număr de telefon şi număr mobil (dacă este), cetăţenie, număr de înregistrare CECCAR, detalii profesionale, alteleş”, a scris Ştefan Deleanu pe reţeaua de socializare.
O zi mai târziu, pe 4 ianuarie, el a transmis, tot pe Facebook, faptul că şi date din Tabloul Avocaţilor care nu sunt destinate publicului larg au putut fi accesate online
„Ieri, am făcut public faptul ca CECCAR a declinat să raporteze contabililor (măcar) şi ANSPDCP (ideal) faptul ca au suferit o breşa gravă de securitate. Pe scurt, oricine accesa platforma - tabloul contabililor, vedea toate informaţiile, de la CNP la adresa personala, la localitatea nasterii, la nr de telefon, la .... aproape tot. Asta fără absolut nici un comportament malicios sau «informat». Pe scurt oricine deschidea inspect element putea vedea CNP-ul oricui. Faptul ca am trimis în BCC mesajul si la ANSPDCP, astfel încât s-au sesizat şi au solicitat probe, a fost pentru ca in mod anterior, IFEP a declinat de a raporta avocaţilor (prin UNBR), o breşă similară. Pe scurt, dacă eşti avocat, următoarele informaţii erau accesibile folosind un link indexat de către Google Search: CNP, nume complet (Nume, prenume), baroul la care ai lucra, email Peste 37565 persoane au avut informaţiile accesibile public pe internet. Daca la data de 26 Februarie 2023, erai înscris într-un barou, eşti afectat”; a scris tânărul pe reţeaua „de socializare.
Tot el publică un e-mail intern trimis de pe o adresă a CECCAR membrilor acestui for în care reprezentanţii CECCAR susţin că un răspuns primit de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) arăta, în septembrie anul trecut, într-un răspuns la o petiţie, că nu sunt afişate public datele cu caracter personal ale contabililor.
Pe de altă parte, tânărul îşi menţine punctul de vedere, conform căruia publicul a avut acces online datele contabililor.
În ceea ce priveşte Tabloul Avocaţilor, Ştefan Deleanu scrie, într-un articol publicat pe site-ul companiei la care lucrează că „dificultatea vulnerabilităţii” a fost „scăzută”: „Vulnerabilitatea a afectat un punct final accesibil şi indexat de Google, permiţând atacatorilor să descarce o listă cu toţi avocaţii, barourile lor corespondente, adresele lor de lucru şi PIN-ul asociat (CNP)”.
În ceea ce priveşte perioada de încălcare a normelor de securitate, tânărul scrie „Deşi nu am putut valida amploarea vulnerabilităţii, credem că breşa a existat de la dezvoltarea iniţială a IFEP, pe care am urmărit-o până la Aprilie 2021. Estimăm că vulnerabilitatea nu a fost găsită, exploatată în sălbăticie, nici dezvăluită pentru cel puţin 2 ani”.
Ştefan Deleanu notează, de asemenea: „Am găsit vulnerabilitatea în timpul cercetării procesorului de date, precum şi a managerului şi proprietarului site-ului IFEP, în contextul lipsei de transparenţă discutată în ceea ce priveşte propunerea legislativă menţionată mai sus” (un proiect de lege care prevede reglementarea serviciilor profesionale efectuate de avocat în format electronic, iniţiativă legislativă înregistrată la Senatul României la data de 6.02.2023.
Avocata Silvia Uscov îl felicită public pe tânărul student pentru descoperirea făcută.
Într-o postare pe Facebook, avocata spune că ea, mai mulţi colegi şi probabil toţi avocaţii din România au primit un e-mail prin care erau anunţaţi că datele lor personale fuseseră accesibile publicului.
„Contextul acestei postări este dat de e-mail-ul primit probabil de toţi avocaţii din România (vedeţi în spam) prin care erau notificaţi de faptul că la data de 28.02.2023 erau accesibile public datele personale ale acestora aflate pe platforma IFEP.(...) Mergând puţin înapoi în timp, acum aproape un an a fost o întreagă dezbatere cu cloud-ul UNBR, care să fie conectat la cloud-ul guvernamental şi, astfel, să accesăm diverse baze de date. Dar mai îngrijorător pentru noi, avocaţii, era ca bazele noastre cu datele clienţilor să nu fie accesate din afară, nici măcar de către organismele profesionale (că aşa suntem noi construiţi, vedem riscuri oriunde). Punctam într-o dezbatere publică faptul că nu suntem atât de bine pregătiţi din punct de vedere al securităţii cibernetice şi, de asemenea, că nici proiectul de lege nu era unul bun, fiind ulterior şi abandonat. Atunci mi-a venit ideea de a adresa, totuşi, la 22.03.2023 o cerere de acces la date către Intra Connect SRL, care se menţiona pe IFEP ca este operatorul de date cu caracter personal. La 12.04.2023 mi-a răspuns că este doar împuternicit, că operatorul este UNBR şi să mă adresez lui, ulterior schimbând şi în IFEP numele operatorului plus câteva ajustări”, a scris avocata, vineri, pe pagina sa de pe reţeaua de socializare.
Ea subliniază că, potrivit art. 23 Legea 51/1995 Baroul întocmeşte tabloul avocaţilor cu anumite date şi îl dă mai departe către instanţe, organe de urmărire penală, autorităţi administrative şi UNBR, conform art. 45 din Statutul profesiei de avocat.
„Aceste date sunt: nume, prenume, titlul ştiinţific, data înscrierii în barou, sediul profesional, forma de exercitare a profesiei şi a instanţele la care au dreptul să pună concluzii. Din raţiuni de interes public aceste date se regăsesc şi într-un tablou publicat de barouri şi de către UNBR la nivel naţional pe IFEP, ca să nu ne trezim cu persoane care se prezintă ca avocaţi şi nu sunt, informaţia putând fi uşor de accesat de orice persoană interesată. Până în anul 2023 IFEP oricum era înregistrat pe numele unei persoane fizice, nu pe Intra Connect, deşi se pare că ar exista un contract secret încheiat între UNBR şi IFEP (de la Barouri se prelucrează, de fapt, datele) (...) Aştept cu interes desfăşurarea evenimentelor. Felicitări, Stefan Deleanu, pentru descoperire!”; notează Silvia Uscov.
Urmărește-ne și pe Google News
Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.
