Alexandru-Ionuț Panait, un tânăr cercetător în securitate cibernetică, a descoperit recent o breșă majoră de securitate la Ghișeul.ro, sistemul național de plată a taxelor și impozitelor, care ar fi putut afecta datele personale a milioane de români. Acesta a sesizat autoritățile și împreună cu experții CERT-RO și ai Autorității pentru Digitalizarea României, vulnerabilitatea a fost eliminată. Alexandru Panait a explicat pentru Adevărul cum a descoperit vulnerabilitatea și cum ar fi putut fi exploatate datele a milioane de români.

Bresa eliminata la Ghiseul.roFoto: CERT-RO

Alexandru Panait a descoperit vulnerabilitatea pe 1 aprilie.

  • “În urma folosirii unui flux normal din ghiseul.ro, datorită experienţei în securitate informatică pe care am acumulat-o în ultimii ani de activitate, am sesizat că SNEP (Sistemul Naţional Electronic de Plată) avea o breşă majoră de securitate prin care se puteau obţine CNP-urile deţinătorilor de bunuri de la toate instituţiile înrolate în sistemul naţional, cât şi adresele unde cetăţenii locuiesc şi mai ales date despre bunurile pe care aceştia le deţin”, a declarat Alexandru Panait pentru Adevărul.ro.

În momentul în care a conştientizat gravitatea situaţiei, fără a divulga informaţii tehnice, Alexandru a contactat partenerii juridici de la Asociaţia Blockchain România, aceştia îndrumându-l să raporteze autorităţilor competente această problemă majore ce ţine de securitatea naţională. Drept urmare, tot pe 1 aprilie, Alexandru a depus o sesizare către CERT.RO (Centrul Naţional De Răspuns La Incidentele De Securitate Cibernetică), cu toate detaliile referitoare la reproducerea acestei vulnerabilităţi. Şi cu menţiunea că această vulnerabilitate ce expune datele personale ale utilizatorilor a fost sesizată că urmare a utilizării sistemului conform destinaţiei sale.

  • „Le-am transmis acestora şi toate datele din analiza mea prin care am dedus că această vulnerabilitate nu a fost exploatată de nimeni. Şi că potenţialul de date ce puteau fi exploatate este de până la 10-15 milioane de identităţi. Le-am explicat cum trebuie să verifice dacă vulnerabilitatea a fost exploatată. Totodată le-am menţionat că problema provine de la lipsa validării că deţinătorul cardului este şi deţinătorul CNP-ului pe fluxul de “card din străinătate”. Toate aceste analize le-am dedus din afara sistemului, fără să văd efectiv modul de operare al platformei, dar deducând-o în baza analizei făcute din exterior pe baza interfeţelor publice”, a mai spus Alexandru Panait.

Vineri, CERT-RO și ADR au anunțat că au eliminat recent o vulnerabilitate care ar fi putut determina accesarea anumitor date personale pentru utilizatori ai platformei Ghișeul.ro.

"Eforturile comune ale celor două instituții au fost bazate pe o sesizare transmisă de Alexandru-Ionuț Panait, cercetător în securitate cibernetică. Astfel, a fost anulat riscul de securitate prin care actori rău intenționați, încălcând premeditat legile în vigoare și termenii de utilizare a platformei, ar fi putut obține acces neautorizat la date aparținând utilizatorilor. Centrul Național de Răspuns la Incidente de Securitate Cibernetică, Autoritatea pentru Digitalizarea României și Alexandru-Ionuț Panait au colaborat la remedierea vulnerabilității.

Asigurarea securității cibernetice a sistemelor-cheie la nivel național este un efort permanent, esențial pentru a spori încrederea cetățenilor în instrumentele și serviciile digitale. Pentru aceasta, este nevoie atât de o cooperare strânsă între autorități, contractori și specialiști, cât și de un mecanism rapid și eficient de comunicare a vulnerabilităților sau riscurilor identificate.

Este îmbucurător că în România există un număr semnificativ de specialiști - cercetători în securitate cibernetică - ce se concentrează pe descoperirea și raportarea responsabilă de vulnerabilități detectate în platforme, servicii și aplicații accesibile online.

Autoritățile încurajează raportarea responsabilă de vulnerabilități de securitate cibernetică, fie direct către gestionarii sistemelor implicate, fie prin serviciul de raportare vulnerabilități pus la dispoziție de CERT-RO dedicat profesioniștilor în securitate cibernetică, precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu public online.

Sectoare critice precum sănătatea, administrația publică, transporturile, energia și finanțele au devenit tot mai dependente de tehnologiile digitale pentru a-și desfășura activitățile de bază, fiind expuse în mod inerent unor amenințări cibernetice tot mai crescute.", se arată în comunicatul celor două autorități.

NOTĂ: www.Ghiseul.ro este un proiect derulat de Autoritatea pentru Digitalizarea Romaniei (ADR) si Asociatia de Plati Electronice din Romania (APERO), parteneriat care a fost prelungit pe perioada nedeterminata. APERO continua sa finanteze din resurse proprii mentenanta si dezvoltarea platformei Ghiseul.ro, la nivelul Asociatiei existand un buget predefinit care este dedicat exclusiv proiectului, in timp ce infrastructura hardware pentru platforma este gestionata de Autoritatea pentru Digitalizarea Romaniei (ADR)