Imobiliare.ro - breşă de securitate cu peste 200.000 de fişiere expuse

0

Publicat: 07.02.2021 13:48

Ultima actualizare: 02.08.2022 14:47

În urmă cu câteva zile a fost publicat un Raport al experţilor Website Planet care anunţa o breşă de securitate a portalului imobiliare.ro, fiind vorba accesul nesecurizat a 201.087 fişiere din baza de date a companiei.

UPDATE: Reprezentanţii portalului Imobiliare.ro au transmis următorul drept la replică: "În luna ianuarie 2021, am detectat o potenţială vulnerabilitate în sistemele noastre interne de stocare a datelor. Compania noastră a demarat prompt o investigaţie. Vulnerabilitatea a fost rapid remediată. Investigaţiile interne cu privire la cauze şi consecinţele potenţiale continuă.

Asigurăm, pe această cale, că pentru Imobiliare.ro siguranţa datelor este o prioritate şi că depunem eforturi continue pentru a proteja confidenţialitatea şi integritatea informaţiilor din platformele noastre, respectând toate normele în vigoare.”

Lansat în 2000, imobiliare.ro este cel mai mare portal imobiliar din România, oferind serviciile sale atât agenţiilor imobiliare, cât şi persoanelor fizice din România. Compania Realmedia Network SA este o filială a grupului media elveţian Ringier. Pe acest portal, clienţii îşi pot publica ofertele astfel că, potrivit companiei, peste 1.000 de agenţii imobiliare beneficiază de serviciile sale şi susţin că înregistrează peste 1 milion de vizitatori unici pe lună. Imobiliare.ro promovează o selecţie de proprietăţi, inclusiv construcţii noi în cadrul complexelor rezidenţiale şi comerciale moderne. Compania este activă şi în promovarea serviciilor sale prin parteneriate cu publicaţii şi portaluri de prestigiu din România.

Breşa de securitate a fost posibilă datorită unor configurări greşite a mediului unde este stocată baza de date (AWS S3 Bucket), oricine putând să acceseze aceste date introducând adresa URL. Acest lucru ar fi putut fi uşor evitat dacă ar fi fost adoptate măsuri de securitate de bază, cum ar fi de exemplu protecţia cu o parola. Amazon Web Services (AWS) Simple Storage Service (S3) este un mediu de stocare in cloud, similar cu un folder de fişiere şi în acest caz nu poate fi considerat responsabil pentru lipsa măsurilor de securitate care cad sarcina operatorului.

Echipa Website Planet a sesizat prima dată proprietarii Imobiliare.ro privind această breşă de securitate pe 1 decembrie 2020, transmiţând totodată un mesaş şi către Amazon Web Services (AWS) pe 11 decembrie 2020, dar nu au primit nici un fel de răspuns. In luna ianuarie 2021, după câteva încercări suplimentare, Echipa Website Planet a contactat direct Compania Ringier (care deţine Imobiliare.ro) care a luat măsuri şi a remediat eroarea de configurare pe 11 ianuarie 2021.

În acest moment nu se cunoaşte cu exactitate dacă au fost şi alte persoane care au profitat de disponibilitatea acestor date în spaţiul public. O combinaţie de nume complet, adresă, carte de identitate naţională şi semnătură sunt suficiente pentru furtul de identitate şi fraudă. În plus, detaliile personale ale utilizatorului ar putea fi utilizate pentru a comite fraude pe alte platforme fără ca victima să conştientizeze faptul că are loc o astfel de activitate.

Conform raportului, datele expuse au fost stocate în 35.738 fişiere .PDF şi 165.316 .JPG şi au inclus informaţii de identificare personală (PII), cum ar fi:

Nume complete
Numere de telefon
Adresa de acasa
E-mailuri
Cod Numeric Personal
Semnături personale

Alte informaţii confidenţiale despre clienţi au inclus:

Contracte imobiliare între clienţi şi agenţie.
Documente de proprietate, inclusiv planuri arhitecturale, specificaţii detaliate şi locaţii ale proprietăţii.
Extracte funciare şi documente ANCPI (Agenţia Naţională pentru Cadastru şi Publicitate)
Imagini de profil utilizator.
Copii scanate ale cărţilor de identitate naţionale, inclusiv coduri de identificare.
Preţul solicitat al proprietăţii.
Descriere detaliată a proprietăţilor, inclusiv locaţia, împrejurimile şi serviciile locale.

Având în vedere că Realmedia Network SA nu a publicat până în acest moment (07.02.2021-12:00) nici o informare publică pe site privind această breşă, nu putem şti cu exactitate cum a gestionat compania această breşă de securitate şi dacă şi-a îndeplinit obligaţiile legale în aceste situaţii.

Cum trebuie să reacţioneze o companie în cazul unei breşe de securitate?

Fiecare operator de date este obligat să protejeze în mod corespunzător toate informaţiile referitoare la angajaţii săi, precum şi să protejeze informaţiile comerciale confidenţiale (inclusiv informaţii referitoare la clienţi, angajaţi, afiliaţi). Pentru a atinge acest obiectiv şi pentru a minimiza riscul pierderii, furtului sau compromiterii informaţiilor legate de afaceri sau de clienţi, sistemele, procedurile operaţionale şi politicile corespunzătoare care sunt în vigoare trebuie revizuite şi actualizate în mod regulat. Problemele de securitate sunt inregistrate zilnic, in absolut toate domeniile de activitate.

Art. 4 alin. (12) din Regulamentul UE 2016/679 defineşte "încălcarea securităţii datelor cu caracter personal" ca o încălcare a securităţii care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul UE 2016/679 care a intrat in vigoare la 25 mai 2016 şi se aplică în toate statele membre din 25 mai 2018 prevede că „în cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere competente (...), fără întârzieri nejustificate şi, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia cazului în care este susceptibilă să genereze un risc pentru drepturile şi libertăţile persoanelor fizice".

Raportarea trebuie făcută cât mai rapid posibil şi, în orice caz, în maximum 72 de ore de la producerea incidentului de securitate. In mod excepţional, operatorii pot raporta incidentul peste limita de 72 de ore, dar trebuie să motiveze întârzierea. De exemplu, pot exista cazuri când incidentul este descoperit la câteva luni de la producere.

Fiecare organizaţie trebuie să implementeze un plan de răspuns la incidente de securitate care să identifice şi să descrie rolurile şi responsabilităţile echipei de răspuns în cazul unei breşe de securitate care va pune planul în acţiune.

Etapele care trebuie parcurse în cazul unui incident de securitate, sunt umătoarele:

Investigarea incidentului intern (în cooperare cu autorităţile de aplicare a legii, dacă este necesar);
Limitarea şi, dacă este posibilă, reducerea prejudiciului potenţial asupra părţilor afectate;
Minimizarea impactului negativ asupra operatorului de date cu caracter personal într-o manieră etică şi legală adecvată, care să includă minimizarea reducerii operaţiunilor, a daunelor reputaţionale şi a daunelor financiare
Comunicaţi corespunzător incidentul sau pierderea către: a. Părţile afectate b. Agenţiile de reglementare - Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal c. Personalului ( în special către conducere);
Oferă îndrumare sau asistenţă în elaborarea acţiunilor corective specifice (inclusiv acţiunile disciplinare, după caz);
Realizaţi revizuiri post-incident, instruire şi educaţie şi furnizaţi comunicări interne pentru a minimiza potenţialele incidente viitoare

Incidentele au o cronologie care conţine, în general, o fază de acţiuni iniţiale şi o fază de acţiuni post-incident. Acţiunile iniţiale încep de îndată ce un incident este descoperit sau raportat şi includ acţiuni de răspuns în timp real pentru a limita daunele în timp ce se planifică un plan de acţiuni mai organizat.

Acţiunile post-incident includ toate activităţile desfăşurate necesare pentru închiderea unui incident şi includ investigarea, corectarea proceselor, notificarea persoanelor afectate şi raportarea către agenţiile de reglementare, conform legii.