Investigație deschisă de Protecția Datelor după o breșă de securitate la Imobiliare.ro care ar fi expus peste 200.000 de fișiere de date / Compania nu a notificat incidentul cum cere legea

​Site-ul imobiliare.ro, cel mai mare portal de anunțuri imobiliare din România, a avut în luna decembrie a anului trecut o breșă de securitate care ar fi permis accesul neautorizat la peste 201.087 fișiere din baza de date a companiei ((inclusiv copii după cărți de identitate), lucru semnalat de experții în securitate IT Website Planet, informează site-ul de specialitate DPO-net.ro. Operatorul spune că a remediat vulnerabilitatea luna trecută, dar nu a notificat Autoritatea pentru protecția datelor, care a deschis o investigație în acest caz, potrivit informațiilor HotNews.ro.

"Urmare a verificării evidențelor instituției noastre, nu a fost identificată notificarea unei încălcări a securității datelor cu caracter personal transmisă de către operatorul la care faceți referire în adresa dvs.

Totodată, precizăm că, având în vedere informațiile din spațiul public, Autoritatea de supraveghere a demarat deja o investigație la operatorul în cauză în exercitarea competențelor sale de control.

De asemenea, vă informăm că potrivit art. 33 din Regulamentul (UE) 2016/679 „În cazul în care are loc o încălcare a securităţii datelor cu caracter personal, operatorul notifică acest lucru autorităţii de supraveghere competente în temeiul art. 55, fără întârzieri nejustificate şi, dacă este posibil, în termen de 72 de ore de la data la care a luat cunoştinţă de aceasta, cu excepţia ca zului în care este puţin probabil să genereze un risc pentru drepturile şi libertăţile persoanelor fizice. În cazul în care notificarea nu are loc în termen de 72 de ore, aceasta este însoţită de o excepţie motivată pentru întârziere

.”, au precizat miercuri, 10 februarie, pentru HotNews.ro oficialii Autorității pentru Protecția Datelor cu caracter Personal (ANSPDCP).

Potrivit autorității, lipsa notificării poate fi sancționată cu avertisment, cu amendă de până la maxim 10 milioane de euro sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior, luându-se în calcul cea mai mare valoare", conform Art. 83 alin.. 4 din Regulamentul UE privind protecția datelor (GDPR).

Contactați de HotNews.ro, oficialii Imobiliare.ro au declarat:

"În luna ianuarie 2021, am detectat o potențială vulnerabilitate în sistemele noastre interne de stocare a datelor. Compania noastră a demarat prompt o investigație. Vulnerabilitatea a fost rapid remediată. Investigațiile interne cu privire la cauze și consecințele potențiale continuă.

Asigurăm, pe această cale, că pentru Imobiliare.ro siguranța datelor este o prioritate și că depunem eforturi continue pentru a proteja confidențialitatea și integritatea informațiilor din platformele noastre, respectând toate normele în vigoare și în colaborare cu autoritățile."

Ce s-a întâmplat: breșa de securitate descoperită de Website Planet

La sfârșitul lunii ianuarie 2021, experții IT Website Planet au semnalat public o breșă de securitate a portalului imobiliare.ro, fiind vorba accesul nesecurizat a 201.087 fișiere din baza de date a companiei.

"Breșa de securitate a fost posibilă datorită unor configurări greșite a mediului unde este stocată baza de date (AWS S3 Bucket), oricine putând să acceseze aceste date introducând adresa URL. Acest lucru ar fi putut fi ușor evitat dacă ar fi fost adoptate măsuri de securitate de bază, cum ar fi de exemplu protecția cu o parola. Amazon Web Services ( AWS ) Simple Storage Service ( S3 ) este un mediu de stocare in cloud, similar cu un folder de fișiere și în acest caz nu poate fi considerat responsabil pentru lipsa măsurilor de securitate care cad sarcina operatorului.Echipa Website Planet a sesizat prima dată proprietarii Imobiliare.ro privind această breșă de securitate pe 1 decembrie 2020, transmițând totodată un mesaj și către Amazon Web Services (AWS ) pe 11 decembrie 2020, dar nu au primit nici un fel de răspuns. In luna ianuarie 2021, după câteva încercări suplimentare, Echipa Website Planet a contactat direct Compania Ringier (care deține Imobiliare.ro) care a luat măsuri și a remediat eroarea de configurare pe 11 ianuarie 2021.În acest moment nu se cunoaște cu exactitate dacă au fost și alte persoane care au profitat de disponibilitatea acestor date în spațiul public. O combinație de nume complet, adresă, carte de identitate națională și semnătură sunt suficiente pentru furtul de identitate și fraudă. În plus, detaliile personale ale utilizatorului ar putea fi utilizate pentru a comite fraude pe alte platforme fără ca victima să conștientizeze faptul că are loc o astfel de activitate.", a scris recent site-ul de specialitate în protecția datelor DPO-net.ro.

Despre incidentul de securitate de la Imobiliare.ro a scris și consultantul IT Tudor Galoș.

"Astăzi vorbim de un data breach major la imobiliare.ro, cel mai mare site de anunțuri imobiliare din România. 200.000 de persoane s-au trezit cu datele personale expuse, ceea ce cam este un record pentru România. Nu știm dacă ANSPDCP a fost anunțată despre acest data breach în 72h de la detecție, așa cum cere legea, nu știm dacă persoanele vizate au fost informate despre acest data breach și despre riscurile la care se expun, însă știm ce a cauzat data breach-ul: „the affected company had left its AWS S3 Bucket unsecured”. De problema configurării greșite a S3 se știe de ceva timp (articolul citat este din August 2019) – este una dintre problemele pe care noi le ridicăm când facem audit și găsim bucket-uri S3. Nu este vina lui Amazon că clienții nu citesc bine instrucțiunile… Probabil că amenda GDPR ce va fi dată operatorului va fi foarte dureroasă, și va fi un record pentru România.", a scris pe blogul personal Tudor Galoș.

În opinia expertului IT, în cazul unei breșe de securitate ar trebui efectuați următorii pași:

Pasul 1: Detectarea unui data breach – monitorizezi sistemele de securitate, logon-urile suspecte, sesizări de la colegi, parteneri, clienți, oameni obișnuiți.
Pasul 2: Limitarea data breach-ului – detectarea cauzei, limitarea expunerii, identificarea datelor/ persoanelor expuse.
Pasul 3: Eradicarea cauzei – analizarea și detectarea tuturor schimbărilor produse în sisteme.
Pasul 4: Remedierea efectelor – eliminarea tuturor surselor cunoscute de data breach, eliminarea malware-urilor, patch-uirea tuturor sistemelor afectate.
Pasul 5: Recuperarea datelor – recuperarea din back-up-uri, testarea datelor.
Pasul 6: Documentarea data breach-ului – documentăm cauzele, modul de abordare, informații cheie pentru viitor.
Pasul 7: Comunicarea data breach-ului – contactarea autorităților necesare (inclusiv ANSPDCP dacă se impune), contactarea persoanelor vizate, contactarea presei.