Breșă de securitate la Ghișeul.ro, care ar fi putut afecta datele a milioane de români, descoperită de un tânăr cercetător în securitate cibernetică: Vulnerabilitatea a fost eliminată

de A.V.     HotNews.ro
Vineri, 9 aprilie 2021, 18:32 Economie | Telecom


Bresa eliminata la Ghiseul.ro
Foto: CERT-RO
Alexandru-Ionuț Panait, un tânăr cercetător în securitate cibernetică, a descoperit recent o breșă majoră de securitate la Ghișeul.ro, sistemul național de plată a taxelor și impozitelor, care ar fi putut afecta datele personale a milioane de români. Acesta a sesizat autoritățile și împreună cu experții CERT-RO și ai Autorității pentru Digitalizarea României, vulnerabilitatea a fost eliminată. Alexandru Panait a explicat pentru Adevărul cum a descoperit vulnerabilitatea și cum ar fi putut fi exploatate datele a milioane de români.

Alexandru Panait a descoperit vulnerabilitatea pe 1 aprilie.

  • “În urma folosirii unui flux normal din ghiseul.ro, datorită experienţei în securitate informatică pe care am acumulat-o în ultimii ani de activitate, am sesizat că SNEP (Sistemul Naţional Electronic de Plată) avea o breşă majoră de securitate prin care se puteau obţine CNP-urile deţinătorilor de bunuri de la toate instituţiile înrolate în sistemul naţional, cât şi adresele unde cetăţenii locuiesc şi mai ales date despre bunurile pe care aceştia le deţin”, a declarat Alexandru Panait pentru Adevărul.ro.

În momentul în care a conştientizat gravitatea situaţiei, fără a divulga informaţii tehnice, Alexandru a contactat partenerii juridici de la Asociaţia Blockchain România, aceştia îndrumându-l să raporteze autorităţilor competente această problemă majore ce ţine de securitatea naţională. Drept urmare, tot pe 1 aprilie, Alexandru a depus o sesizare către CERT.RO (Centrul Naţional De Răspuns La Incidentele De Securitate Cibernetică), cu toate detaliile referitoare la reproducerea acestei vulnerabilităţi. Şi cu menţiunea că această vulnerabilitate ce expune datele personale ale utilizatorilor a fost sesizată că urmare a utilizării sistemului conform destinaţiei sale.

  • „Le-am transmis acestora şi toate datele din analiza mea prin care am dedus că această vulnerabilitate nu a fost exploatată de nimeni. Şi că potenţialul de date ce puteau fi exploatate este de până la 10-15 milioane de identităţi. Le-am explicat cum trebuie să verifice dacă vulnerabilitatea a fost exploatată. Totodată le-am menţionat că problema provine de la lipsa validării că deţinătorul cardului este şi deţinătorul CNP-ului pe fluxul de “card din străinătate”. Toate aceste analize le-am dedus din afara sistemului, fără să văd efectiv modul de operare al platformei, dar deducând-o în baza analizei făcute din exterior pe baza interfeţelor publice”, a mai spus Alexandru Panait.

Vineri, CERT-RO și ADR au anunțat că au eliminat recent o vulnerabilitate
care ar fi putut determina accesarea anumitor date personale pentru utilizatori ai platformei Ghișeul.ro.

"Eforturile comune ale celor două instituții au fost bazate pe o sesizare transmisă de Alexandru-Ionuț Panait, cercetător în securitate cibernetică. Astfel, a fost anulat riscul de securitate prin care actori rău intenționați, încălcând premeditat legile în vigoare și termenii de utilizare a platformei, ar fi putut obține acces neautorizat la date aparținând utilizatorilor. Centrul Național de Răspuns la Incidente de Securitate Cibernetică, Autoritatea pentru Digitalizarea României și Alexandru-Ionuț Panait au colaborat la remedierea vulnerabilității.

Asigurarea securității cibernetice a sistemelor-cheie la nivel național este un efort permanent, esențial pentru a spori încrederea cetățenilor în instrumentele și serviciile digitale. Pentru aceasta, este nevoie atât de o cooperare strânsă între autorități, contractori și specialiști, cât și de un mecanism rapid și eficient de comunicare a vulnerabilităților sau riscurilor identificate.

Este îmbucurător că în România există un număr semnificativ de specialiști - cercetători în securitate cibernetică - ce se concentrează pe descoperirea și raportarea responsabilă de vulnerabilități detectate în platforme, servicii și aplicații accesibile online.

Autoritățile încurajează raportarea responsabilă de vulnerabilități de securitate cibernetică, fie direct către gestionarii sistemelor implicate, fie prin serviciul de raportare vulnerabilități pus la dispoziție de CERT-RO dedicat profesioniștilor în securitate cibernetică, precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu public online.

Sectoare critice precum sănătatea, administrația publică, transporturile, energia și finanțele au devenit tot mai dependente de tehnologiile digitale pentru a-și desfășura activitățile de bază, fiind expuse în mod inerent unor amenințări cibernetice tot mai crescute.", se arată în comunicatul celor două autorități.

NOTĂ: www.Ghiseul.ro este un proiect derulat de Autoritatea pentru Digitalizarea Romaniei (ADR) si Asociatia de Plati Electronice din Romania (APERO), parteneriat care a fost prelungit pe perioada nedeterminata. APERO continua sa finanteze din resurse proprii mentenanta si dezvoltarea platformei Ghiseul.ro, la nivelul Asociatiei existand un buget predefinit care este dedicat exclusiv proiectului, in timp ce infrastructura hardware pentru platforma este gestionata de Autoritatea pentru Digitalizarea Romaniei (ADR)








Citeste doar ceea ce merita. Urmareste-ne si pe Facebook si Instagram.

















27338 vizualizari

  • +9 (15 voturi)    
    Statul roman, etern incompetent (Vineri, 9 aprilie 2021, 18:38)

    emil bobu [utilizator]

    Amintiti-mi de ce ati votat cu PSD si PNL.
    • -9 (11 voturi)    
      :) (Vineri, 9 aprilie 2021, 22:35)

      Casargoz [utilizator] i-a raspuns lui emil bobu

      Ghiseul după cum știe toată lumea nu are legătura prea mare cu statul, are legătura cu privații :)))
      Așa ca titlul tău ar trebui sa sune așa :
      Bancile aceste instituții incompetente care nu sunt in stare sa întrețină un sistem gratis.
      • +5 (9 voturi)    
        ?? (Sâmbătă, 10 aprilie 2021, 3:44)

        imi_pasa_de_romania [utilizator] i-a raspuns lui Casargoz

        Sa inteleg ca 30 de banci din Romania au facut un site de plati la stat? Tu te auzi?

        E vorba de o initiativa a guvernului Ciolos si un site facut de GovItHub care din pacate nu a avut mentenanta dupa ce a preluat PSD si a fost lasat in voia sortii dupa 2017. Cam asta se intampla cand PSD vine la putere.

        Ce treaba au bancile? Sau preiei textele lui Dragnea ca bancile saracesc tara?
      • +4 (6 voturi)    
        Ai o imensa capacitate de a minti (Sâmbătă, 10 aprilie 2021, 7:04)

        emil bobu [utilizator] i-a raspuns lui Casargoz

        Salut, bugetarule.
  • -1 (9 voturi)    
    . (Vineri, 9 aprilie 2021, 18:54)

    Toate nickname-urile erau luate [utilizator]

    Hai, Cîțule, o plângere penală, ceva? Că văd că te pricepi.
  • +5 (5 voturi)    
    Nu era o bresa (Vineri, 9 aprilie 2021, 19:25)

    Mihai Esemescu [utilizator]

    Ci era un ficiur.
  • +4 (8 voturi)    
    Inceput promitator! (Vineri, 9 aprilie 2021, 20:03)

    Zonex [utilizator]

    Imaginati-va NU daca vor exista CI cand vor exista brese de securitate in softurile ce sunt folosite pentru stocarea detelor biometrice ale noilor buletine, o parola o mai schimbi dar sa vad cum isi vor schimba unii amprentele!
    Oare se vor trezii unii cu conturi bancare prin Sri Lanka prin care au fost rulate sume pentru talibani?
    Sau se vor trezi unii cu credite bancare cand astfel de date biometrice vor fi o optiune pentru a deschide conturi, obtine credite, retragere bani conturi?
    Nu mai vorbesc de cei ce vor vana la propriu pe internet astfel de date in vederea valorificarii lor in zona deep/dark a internetului pentru insusirea de identitati false a unora cu intentii nu tocmai ortodoxe!
    In concluzie: inainte sa acceptati acte biometrice ganditi-va de 100 de ori inainte!
    Asa cum am mai spus; sa vedem gastele si oile cum vor reactiona cand ii vor salta autoritatile deoarece le-au fost gasite amprente pe vreo clanta sau pahar la locul vreunei crime sau spargeri, deoarece la strangerea dovezilor de la locul faptei acelea vor fi cautate ca si corespondent in bazele de date existente iar cand vor gasi date comune respectivii vor fi saltati iar pana vor fi gasiti adevaratii faptasi " daca vor fi gasiti " turmele care vad doar ceea ce vor unii ca ele sa vada se vor trezi prea tarziu din somnul cel de moarte!!
    • +5 (5 voturi)    
      Degeaba (Vineri, 9 aprilie 2021, 21:01)

      palatin [utilizator] i-a raspuns lui Zonex

      ...se gandesc de 100 de ori, daca de fiecare data se gandesc la fel.
    • +4 (6 voturi)    
      va fi ca acum, chill (Vineri, 9 aprilie 2021, 22:45)

      Roman_Cetatean [utilizator] i-a raspuns lui Zonex

      sa stii ca deja exista companii fintech , gen Revolut sau banci care folosesc intensiv datele biometrice (amprenta, fata etc) pt a te loga la cont si a face operatiuni, tranzactii, de la accesarea de credite la plati uzuale.
      Deci, nimic senzational in asta, e doar o modalitate mai usoara de a accesa anumite conturi (personale), rapida. Cat despre securitatea lor, evident, si asta va evolua.
      Mai veniti si in sec 21, in 2021, dlor, am avansat si chiar daca nu va place, vom mai avansa, cu riscurile de rigoare, dar oare cand progresul nu a implicat si riscuri?
    • 0 (0 voturi)    
      lol (Vineri, 16 aprilie 2021, 19:55)

      Calin123 [utilizator] i-a raspuns lui Zonex

      Stai chill bro ca s-au gandit altii mai destepti deja la astfel de situatii. E la fel si cu parolele oamenilor, parole care sunt tinute undeva, intr-o baza de date, la care au acces niste angajati (oameni) care ar putea fi corupti/cumparati/raufacatori.
      Pe scurt lucrurile functioneaza cam asa: amprenta ta ar sa zicem 10.000 biti de informatie. Acei 10.000 biti nu sunt stocati nicaieri si nici nu ii vei vedea tu vreodata. Tu vei vedea doar un hash al celor 10.000 biti. Un hash este un algoritm de criptare ireversibil prin care o secventa de biti se transforma intr-o alta secventa de biti iar secventa rezultata nu poate fi transformata inapoi in secventa originala. Pe server, se stocheaza si se compara doar acele hash-uri asa ca serverul niciodata nu va sti cei 10.000 biti de amprenta. Din ce am citit, cei 10.000 biti nu parasesc nici macar procesorul telefonului in forma lor originala.
      Deci stai chill!
  • +2 (4 voturi)    
    ! (Vineri, 9 aprilie 2021, 20:56)

    tudorr [utilizator]

    Ghiseul.ro e facut tot de Ghita, infractorul de la Rromania TV?
  • +1 (3 voturi)    
    Curajos ala (Sâmbătă, 10 aprilie 2021, 3:14)

    gugurila [utilizator]

    ... sa raporteze vulnerabilitati la stat.

    Urmeaza sa-l ancheteze corpul de control al primului ministrulu pentru acces neautorizat?
  • +2 (2 voturi)    
    E normal (Sâmbătă, 10 aprilie 2021, 6:49)

    bardiCristi [utilizator]

    Orice soft, inclusiv acel site, are brese de securitate. Din poacate solutia pt. acest fenomen se numeste specialisti, iar Romania este experta in a-i exporta. Noroc ca au mai ramas cativa prin tara.
  • +4 (4 voturi)    
    LA VREMURI NOI TOT VOI (Sâmbătă, 10 aprilie 2021, 6:52)

    COCH [utilizator]

    Stim SIVECO, ASESOFT, UTI....ma mir ca voi nu stiti toti din sistemul vechilor securisti.
    Acum, voi cei noi, mai toti angajati la cei noi, noua securitate, postaci pe hotnews, le dati lectii. Te-a puca rasul. Cand vom afla unde zac si evolueaza noii secoristi, urmasii si urmasii fostilor securisti, din presa scrisa si nu numai, din teatre, muzica etc?
    Niciodata, normal, revolutia a fost invinsa, sau asazisa revolutie din 89.
    Daca chiar ati fi invatat si ati avea diplome adevarate de studii, toti postacii usr-isti, ati sti ca indeletnicirea de a gasi vulnerabilitati si a asigura securitatea datelor digitale in sitemele bancare, online etc este o meserie, este bine platita, ca si reclama tipului din articol, un biet buticar de firma soft ce asigura si cauta, si isi cauta de lucru, vunerabilitatile din retelele informatice. Aceste sisteme trebuie vegheate, aparate, reparate mai mereu si asta costa. Nimeni nu face un sistem soft bun din prima, doar prostii cred asta. Normal ca nu sunt bani pentru ca cu asti platiti pensiile magistratilor, militienilor si militarilor in izmene, generali la strans porumbul si la canal, care nu au tras un foc in viata vietilor lor, adevarati eroi ai muncii in zadar.
    In rest, un articol, iar, pubicitar care a antrenat haita postacilor usr, de pe ata realitare virtuala.
    Mi-e scarba!
    • +1 (3 voturi)    
      Nu te aprinde si mai ales nu politiza... (Sâmbătă, 10 aprilie 2021, 11:50)

      Costique [utilizator] i-a raspuns lui COCH

      ...caci USR este o șansă de mai bine deși are sincope. Prefer pe unii noi care fac greșeli decât șleahta îmbătrânită in rele a PSD-ului. Daca un prost susține USR, înseamnă ca toți prostii susțin USR si mai ales NUMAI EI? Ei zic ca tot la PSD e majoritatea alegătorimii proste!
  • 0 (2 voturi)    
    Ca deobicei... (Sâmbătă, 10 aprilie 2021, 11:44)

    Costique [utilizator]

    ... tot soiul de comentatori care nu au o realizare la viata lor s-au găsit sa-si dea cu părerea de un sistem informatic despre care ei însăși nu au absolut nici o idee. Pur si simplu este caracterizant pentru prostia romanesca cum toți simt nevoia sa își dea cu părerea despre lucruri pe care nu le cunosc. Din comentarii ai impresia ca toți sunt mai deștepți ca aia de au făcut sistemul si ca ei ar fi făcut totul perfect de la început.
    Tara asta nu se mai face bine pentru ca poporul ei este prea idiot in majoritate...
    Deștepții învață din greșelile altora, mediocrii din ale lor dar prostii din România le știu pe toate deja...


Abonare la comentarii cu RSS

ESRI

Întâlniri on-line | #deladistanță

Top 10 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.



powered by
developed by