Un tânăr în vârstă de 25 de ani a reușit să protejeze datele a milioane de români, acestea fiind în pericol de a fi exploatate de către infractorii cibernetici. Tânărul a transmis mai departe către Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) breșa de securitate.
Datele a milioane de români au fost în pericol de a fi exploatate
Alexandru Panait este vedeta acestei reușite a CERT-RO. Totodată, el este și cel care a creat proiectul ePrimăriaTa, prin care au fost digitalizate sute de primării. Recent, Alexandru a descoperit o breșă majoră de securitate pentru Sistemul Electronic de Plată, astfel că datele a milioane de români erau vulnerabile.
“În urma folosirii unui flux normal din ghiseul.ro, datorită experienţei în securitate informatică pe care am acumulat-o în ultimii ani de activitate, am sesizat că SNEP (Sistemul Naţional Electronic de Plată) avea o breşă majoră de securitate prin care se puteau obţine CNP-urile deţinătorilor de bunuri de la toate instituţiile înrolate în sistemul naţional, cât şi adresele unde cetăţenii locuiesc şi mai ales date despre bunurile pe care aceştia le deţin”, a spus Alexandru Panait.
După ce a conștientizat cu ce are de-a face, Alexandru a luat legătura cu partenerii juridici de la Asociația Blockchain România, îndrumându-l să se adreseze mai departe autorităților abilitate. Tot la data descoperirii, tânărul s-a adresat către CERT-RO, dându-le toate detaliile necesare cu privire la vulnerabilitate.
„Le-am transmis acestora şi toate datele din analiza mea prin care am dedus că această vulnerabilitate nu a fost exploatată de nimeni. Şi că potenţialul de date ce puteau fi exploatate este de până la 10 milioane de identităţi. Le-am explicat cum trebuie să verifice dacă vulnerabilitatea a fost exploatată. Toate aceste analize le-am dedus din afara sistemului, fără să văd efectiv modul de operare al platformei, dar deducând-o în baza analizei făcute din exterior pe baza interfeţelor publice”, mai spune Alexandru Panait.
Amenințarea a fost eliminată
Din calculele tânărului, această vulnerabilitate ar fi putut să exploateze datele a aproximativ 14 milioane de români. Într-un comunicat de presă, reprezentanții CERT-RO au afirmat că breșa de securitate a fost eliminată.
”În baza parteneriatului instituțional, experții CERT-RO și ADR au eliminat recent o vulnerabilitate care ar fi putut determina accesarea anumitor date personale pentru utilizatori ai platformei Ghișeul.ro.
Eforturile comune ale celor două instituții au fost bazate pe o sesizare transmisă de Alexandru-Ionuț Panait, cercetător în securitate cibernetică. Astfel, a fost anulat riscul de securitate prin care actori rău intenționați, încălcând premeditat legile în vigoare și termenii de utilizare a platformei, ar fi putut obține acces neautorizat la date aparținând utilizatorilor”, se arată în comunicat.
În comunicatul de presă a Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică, se mai arată faptul că autoritățile recomandă raportarea oricărei astfel de tip de vulnerabilități.
”Asigurarea securității cibernetice a sistemelor-cheie la nivel național este un efort permanent, esențial pentru a spori încrederea cetățenilor în instrumentele și serviciile digitale. Pentru aceasta, este nevoie atât de o cooperare strânsă între autorități, contractori și specialiști, cât și de un mecanism rapid și eficient de comunicare a vulnerabilităților sau riscurilor identificate.
Este îmbucurător că în România există un număr semnificativ de specialiști – cercetători în securitate cibernetică – ce se concentrează pe descoperirea și raportarea responsabilă de vulnerabilități detectate în platforme, servicii și aplicații accesibile online.
Autoritățile încurajează raportarea responsabilă de vulnerabilități de securitate cibernetică, fie direct către gestionarii sistemelor implicate, fie prin serviciul de raportare vulnerabilități pus la dispoziție de CERT-RO dedicat profesioniștilor în securitate cibernetică, precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu public online”, se mai arată în comunicat.
Site-ul ghișeul.ro era sub amenințarea unui atac
În urma colaborării CERT-RO cu Alexandru Panait, vulnerabilitatea din cadrul site-ului ghișeul.ro a fost remediată.
„Deoarece nu există sisteme bulletproof, securitatea cibernetică este un domeniu extrem de delicat. Mulțumesc echipelor CERT-RO și ADR pentru profesionalismul, promptitudinea și eficiența de care au dat dovadă în remedierea breșei de securitate raportate de mine către organele abilitate. Împreună am izolat cu succes o vulnerabilitate a portalului Ghișeul.ro”, a spus Alexandru-Ionuț Panait.
Read More
Reflectorul de Sud