Investigație deschisă de Protecția Datelor după o breșă de securitate la Imobiliare.ro care ar fi expus peste 200.000 de fișiere de date / Compania nu a notificat incidentul cum cere legea

de Adrian Vasilache     HotNews.ro
Miercuri, 10 februarie 2021, 14:54 Economie | Telecom


Bresa imobiliare.ro
Foto: Websiteplanet.com
​Site-ul imobiliare.ro, cel mai mare portal de anunțuri imobiliare din România, a avut în luna decembrie a anului trecut o breșă de securitate care ar fi permis accesul neautorizat la peste 201.087 fișiere din baza de date a companiei (inclusiv copii după cărți de identitate), lucru semnalat de experții în securitate IT Website Planet, informează site-ul de specialitate DPO-net.ro. Operatorul spune că a remediat vulnerabilitatea luna trecută, dar nu a notificat Autoritatea pentru protecția datelor, care a deschis o investigație în acest caz, potrivit informațiilor HotNews.ro.

  • Ce a declarat Autoritatea pentru protecția datelor personale la solicitarea HotNews.ro:

"Urmare a verificării evidențelor instituției noastre, nu a fost identificată notificarea unei încălcări a securității datelor cu caracter personal transmisă de către operatorul la care faceți referire în adresa dvs.

Totodată, precizăm că, având în vedere informațiile din spațiul public, Autoritatea de supraveghere a demarat deja o investigație la operatorul în cauză în exercitarea competențelor sale de control.

De asemenea, vă informăm că potrivit art. 33 din Regulamentul (UE) 2016/679 „În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere competente în temeiul art. 55, fără întârzieri nejustificate şi, dacă este posibil, în termen de 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia ca zului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoţită de o excepţie motivată pentru întârziere
.”, au precizat miercuri, 10 februarie, pentru HotNews.ro oficialii Autorității pentru Protecția Datelor cu caracter Personal (ANSPDCP).

Potrivit autorității, lipsa notificării poate fi sancționată cu avertisment, cu amendă de până la maxim 10 milioane de euro sau, în cazul unei întreprinderi, de până la 2% din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare", conform Art. 83 alin. 4 din Regulamentul UE privind protecția datelor (GDPR).

  • Imobiliare.ro: Vulnerabilitatea a fot remediată luna trecută

Contactați de HotNews.ro, oficialii Imobiliare.ro au declarat:

"În luna ianuarie 2021, am detectat o potențială vulnerabilitate în sistemele noastre interne de stocare a datelor. Compania noastră a demarat prompt o investigație. Vulnerabilitatea a fost rapid remediată. Investigațiile interne cu privire la cauze și consecințele potențiale continuă.

Asigurăm, pe această cale, că pentru Imobiliare.ro siguranța datelor este o prioritate și că depunem eforturi continue pentru a proteja confidențialitatea și integritatea informațiilor din platformele noastre, respectând toate normele în vigoare și în colaborare cu autoritățile."

  • Ce s-a întâmplat: breșa de securitate descoperită de Website Planet

La sfârșitul lunii ianuarie 2021
, experții IT Website Planet au semnalat public o breșă de securitate a portalului imobiliare.ro, fiind vorba de accesul nesecurizat a 201.087 fișiere din baza de date a companiei.

  • "Breșa de securitate a fost posibilă datorită unor configurări greșite a mediului unde este stocată baza de date (AWS S3 Bucket), oricine putând să acceseze aceste date introducând adresa URL. Acest lucru ar fi putut fi ușor evitat dacă ar fi fost adoptate măsuri de securitate de bază, cum ar fi de exemplu protecția cu o parola. Amazon Web Services ( AWS ) Simple Storage Service ( S3 ) este un mediu de stocare in cloud, similar cu un folder de fișiere și în acest caz nu poate fi considerat responsabil pentru lipsa măsurilor de securitate care cad sarcina operatorului.
  • Echipa Website Planet a sesizat prima dată proprietarii Imobiliare.ro privind această breșă de securitate pe 1 decembrie 2020, transmițând totodată un mesaj și către Amazon Web Services (AWS ) pe 11 decembrie 2020, dar nu au primit nici un fel de răspuns. In luna ianuarie 2021, după câteva încercări suplimentare, Echipa Website Planet a contactat direct Compania Ringier (care deține Imobiliare.ro) care a luat măsuri și a remediat eroarea de configurare pe 11 ianuarie 2021.
  • În acest moment nu se cunoaște cu exactitate dacă au fost și alte persoane care au profitat de disponibilitatea acestor date în spațiul public. O combinație de nume complet, adresă, carte de identitate națională și semnătură sunt suficiente pentru furtul de identitate și fraudă. În plus, detaliile personale ale utilizatorului ar putea fi utilizate pentru a comite fraude pe alte platforme fără ca victima să conștientizeze faptul că are loc o astfel de activitate.", a scris recent site-ul de specialitate în protecția datelor DPO-net.ro.

Despre incidentul de securitate de la Imobiliare.ro a scris și consultantul de business și privacy Tudor Galoș.

  • "Astăzi vorbim de un data breach major la imobiliare.ro, cel mai mare site de anunțuri imobiliare din România. 200.000 de persoane s-au trezit cu datele personale expuse, ceea ce cam este un record pentru România. Nu știm dacă ANSPDCP a fost anunțată despre acest data breach în 72h de la detecție, așa cum cere legea, nu știm dacă persoanele vizate au fost informate despre acest data breach și despre riscurile la care se expun, însă știm ce a cauzat data breach-ul: „the affected company had left its AWS S3 Bucket unsecured”. De problema configurării greșite a S3 se știe de ceva timp (articolul citat este din August 2019) – este una dintre problemele pe care noi le ridicăm când facem audit și găsim bucket-uri S3. Nu este vina lui Amazon că clienții nu citesc bine instrucțiunile… Probabil că amenda GDPR ce va fi dată operatorului va fi foarte dureroasă, și va fi un record pentru România.", a scris pe blogul personal Tudor Galoș.

În opinia expertului IT, în cazul unei breșe de securitate ar trebui efectuați următorii pași:

Pasul 1: Detectarea unui data breach – monitorizezi sistemele de securitate, logon-urile suspecte, sesizări de la colegi, parteneri, clienți, oameni obișnuiți.
Pasul 2: Limitarea data breach-ului – detectarea cauzei, limitarea expunerii, identificarea datelor/ persoanelor expuse.
Pasul 3: Eradicarea cauzei – analizarea și detectarea tuturor schimbărilor produse în sisteme.
Pasul 4: Remedierea efectelor – eliminarea tuturor surselor cunoscute de data breach, eliminarea malware-urilor, patch-uirea tuturor sistemelor afectate.
Pasul 5: Recuperarea datelor – recuperarea din back-up-uri, testarea datelor.
Pasul 6: Documentarea data breach-ului – documentăm cauzele, modul de abordare, informații cheie pentru viitor.
Pasul 7: Comunicarea data breach-ului – contactarea autorităților necesare (inclusiv ANSPDCP dacă se impune), contactarea persoanelor vizate, contactarea presei.






Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.















.*.


3978 vizualizari

  • +3 (3 voturi)    
    In mod cert, n-au avut un DPO ! (Miercuri, 10 februarie 2021, 19:02)

    gmb72 [utilizator]

    Legea obliga toti operatorii de date care prelucreaza date cu caracter special sau din arii geografice mari, in mod sistematic (exact cum face imobiliare.ro) sa aiba desemnat un DPO - responsabil cu protectia datelor. Care, daca ar fost si profesionist in stiinte juridice si IT asa cum cere GDPR (si nu un absolvent de cine stie ce cursulet facut de cine stie cine) nu ar mai fi fost posibila bresa de securitate.
    Dar ce zic eu de o firma (fie ea si Ringier-imobiliare.ro, cand majoritatea scolilor, liceelor sau universitatilor din Romania nici nu si-au pus problema desemnarii unui responsabil cu protectia datelor (DPO), desi legea-i obliga la acest lucru ! Sau dac au facut-o, au desemnat pe cineva asa, de florile marului, sa fie "bifata" si asta, cineva care habar nu are cu ce se mananca chestia asta, si nici nu-i pasa, ca nu ia nimic in plus la salariu...
    Si uite asa, in timpul asa-zisului invatamant online, datele personale ale copiilor au ajuns vehiculate si rostogolite prin whatsapp pe te miri ce si ale nui telefoane ... apoi, ne miram cum sunt rapiti din fata casei, a scolilor sau incap pe mana pedofililor....
    Si apropo, lipsa desemnarii unui DPO cand exista aceasta obligativitate legala, se poate sanctiona cu pana la 2% din cifra de afaceri, sau pana la 600 000 lei - daca vorbim de o institutie publica (scoala).
    Daca Autoritatea de Supraveghere a Datelor si-ar face treaba, ar creste veniturile la buget cu vreo 10 procente, ca si in prezent, peste 80% din firmele din Romania considera ca "mie nu mi se aplica GDPR, ca lucrez doar cu firme".... Iar de la acele firme, primesc zeci si sute de date cu caracter personal, ale unor persoane carora trebuie sa le presteze diverse servicii, dar, nu, ei lucreaza numai cu fime, nu au colectat direct datele....
    • 0 (0 voturi)    
      100% de acord (Joi, 11 februarie 2021, 14:19)

      Elfu [utilizator] i-a raspuns lui gmb72

      yep,

      chiar deunazi ma aratam indignat de folosirea unor adrese de tipul scoalaXYZ@yahoo.com pentru corespondenta intre scoli si parinti care cuprinde date cu caracter personal si de cererea ASSMB a unor informatii personale si medicale asociate elevilor - pentru dezvoltarea (cumpararea) unui sistem informatic paralel SIUI pentru toate unitatile de invatamant din capitala (cadrele didactice insista ca aceste date sa fie completate si parintii sa isi dea acordul ca assmb sa faca ceva cu ele (ce?))

      din pacate majoritatea insitutiilor publice nu se preocupa de DGPR si nici nu intuiesc gravitatea furtului de identitate sau folosirea informatiilor pentru comiterea de infractiuni


Abonare la comentarii cu RSS

ESRI

Întâlniri on-line | #deladistanță

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.



powered by
developed by