UPDATE Breşă de securitate la site-ul imobiliare.ro: datele a peste 200.000 de utilizatori au fost compromise. Ce spune compania

Cel mai mare portal imobiliar din România, Imobiliare.ro, a suferit o breşă de securitate care ar putea afecta întreaga sa bază de date de clienți. Rămâne necunoscut dacă informațiile despre clienții companiei au căzut în mâinile hackerilor, dar s-a constatat că o parte din datele companiei este expusă, fără protecție prin parolă sau criptare. Datele expuse au fost stocate în 35.738 fișiere PDF și 165.316 de fişiere JPG și au inclus informații de identificare personală, cum ar fi: numele complet, numărul de telefon, adrese fizice, e-mailuri, CNP-uri şi inclusiv semnături. UPDATE: Ce spune compania, în următorul paragraf.
Lidia Neagu - lun, 08 feb. 2021, 14:01
UPDATE Breşă de securitate la site-ul imobiliare.ro: datele a peste 200.000 de utilizatori au fost compromise. Ce spune compania

UPDATE 19.17 „În luna ianuarie 2021, am detectat o potențială vulnerabilitate în sistemele noastre interne de stocare a datelor. Compania noastră a demarat în mod prompt o investigație internă. Vulnerabilitatea a fost rapid remediată. Investigațiile interne cu privire la cauze și consecințele potențiale continuă.

Asigurăm, pe această cale, că pentru Imobiliare.ro siguranța datelor este o prioritate și că depunem eforturi continue pentru a proteja confidențialitatea și integritatea informațiilor din platformele noastre, respectând toate normele în vigoare”, este poziția oficială a companiei. 

Știrea inițială 

Ca parte a unei scanări de rutină ale serverelor pentru a detecta potențialele vulnerabilități, echipa de experţi de la Website Planet a descoperit că breşa de securitate a fost posibilă din cauza unor configurări greşite a mediului unde este stocată baza de date (AWS S3 Bucket), oricine putând să acceseze aceste date introducând adresa de URL corectă.

Amazon Web Services (AWS) Simple Storage Service (S3) este un mediu de stocare in cloud, şi, în acest caz, gazda serverelor (Amazon) nu poate fi considerată responsabilă pentru lipsa măsurilor de securitate care cad sarcina operatorului.

Configurarea greșită a însemnat că oricine încearcă să acceseze baza de date a companiei ar fi putut face acest lucru fără a întâmpina măsuri de securitate de bază, cum ar fi protecția prin parolă. Efectiv, oricine ar fi putut accesa Bucket doar introducând adresa URL corectă.

Alte informaţii confidenţiale despre clienţi au inclus:

  • Contracte imobiliare între clienţi şi agenţie
  • Documente de proprietate, inclusiv planuri arhitecturale, specificaţii detaliate şi locaţii ale proprietăţii
  • Extracte funciare şi documente ANCPI (Agenţia Naţională pentru Cadastru şi Publicitate) 
  • Imagini de profil utilizator
  • Copii scanate ale cărţilor de identitate naţionale, inclusiv coduri de identificare
  • Preţul solicitat al proprietăţii
  • Descriere detaliată a proprietăţilor, inclusiv locaţia, împrejurimile şi serviciile locale.

Ce pot face persoanele neutorizate cu aceste date

Potrivit surusei citate, breşa a a expus peste 200.000 de date, dar numărul exact al persoanelor afectate rămâne necunoscut. Acest lucru ar fi putut fi foarte uşor evitat dacă ar fi fost folosite măsuri de securitate de bază, cum ar fi o parolă de acces.

Impactul probabil asupra clienților ar putea fi sever, având în vedere tipul de informații care a fost scurs.

În primul rând, hackerii ar putea exploata informațiile pentru a afla adresa rezidențială a oamenilor, venitul aproximativ și starea financiară. Informațiile financiare detaliate nu au fost difuzate, deși utilizatorii neautorizați ar putea estima valorea proprietății ca un indicator proxy pentru averea netă. Cu aceste informații, furtul de identitate este principala preocupare, deși alte infracțiuni, cum ar fi efracția, sunt și ele mai probabile din cauza scurgerii de date.

O combinație de nume complet, adresă, carte de identitate națională și semnătură este suficientă pentru furtul de identitate și frauda. În plus, detaliile personale ale utilizatorului ar putea fi utilizate pentru a comite fraude pe alte platforme fără ca victima să conștientizeze faptul că are loc o astfel de activitate.

Echipa Website Planet spune că a sesizat prima dată proprietarii site-ului Imobiliare.ro în legătură cu această breşă de securitate pe 1 decembrie 2020. În plus, a transmis şi un mesaj şi către Amazon Web Services (AWS) pe 11 decembrie 2020, dar nu au primit nici un fel de răspuns. În luna ianuarie 2021, după câteva încercări suplimentare, echipa Website Planet a contactat direct compania Ringier (care deţine Imobiliare.ro) care a declarat că a luat măsuri şi a remediat eroarea de configurare pe 11 ianuarie 2021.

Protecţia datelor personale

Utilizatorii Imobiliare.ro ar fi putut face puțin pentru a preveni scurgerea datelor lor. Culpabilitatea pentru breşa de securitate a serverului revine în întregime companiei.

Cu toate acestea, utilizatorii pot atenua riscurile cu care se confruntă din cauza securității cibernetice slabe prin intermediul unor companii terțe, cum ar fi companiile de raportare a creditelor de consum care oferă asistență pentru recuperarea identității, dacă informațiile personale divulgate au fost utilizate pentru a afla istoricul creditului cuiva sau pentru a comite alte infracțiuni sub un nume fals.

În ceea ce privește atenuarea amenințărilor, utilizatorii pot lua măsuri proactive pentru a-și îmbunătăți securitatea cibernetică contactând compania cu care colaborează sau cu care doreşte să încheie un contract. Pot solicita informații despre modul în care sunt stocate informațiile lor personale, pe ce durată și sub ce politică de confidenţialitate.

Lansat în 2000, Imobiliare.ro este cel mai mare portal imobiliar din România, oferind serviciile sale atât agențiilor imobiliare, cât și persoanelor fizice. Compania este o filială a grupului media elvețian Ringier.

Te-ar mai putea interesa și
Grupul Lavazza raportează realizarea unei cifre de afaceri de peste 3 miliarde de euro în 2023, în creștere cu 13%. Profitul însă a scăzut
Grupul Lavazza raportează realizarea unei cifre de afaceri de peste 3 miliarde de euro în 2023, în creștere cu 13%. Profitul ...
Consiliul director al Grupului Lavazza a aprobat declarațiile financiare consolidate la 31 decembrie 2023 și a anunțat principalii indicatori financiari. Astfel, grupul a raportat pentru anul......
Prevenirea fraudei: investiție-cheie pentru succesul businessului
Prevenirea fraudei: investiție-cheie pentru succesul businessului
Prevenirea fraudei în mediul corporativ nu este neapărat o chestiune de politici și proceduri, ci ține de crearea unei ...
Boloș: Creșterea numărului de posturi de conducere în instituțiile publice poate fi făcută dacă sunt îndeplinite două condiții cumulative (Video)
Boloș: Creșterea numărului de posturi de conducere în instituțiile publice poate fi făcută dacă sunt îndeplinite ...
Creşterea numărului de posturi de conducere de la 8% la 10% în instituţiile publice poate fi făcută doar dacă în ...
CNAIR a început demersurile pentru organizarea licitației de atribuire a lotului cuprins între Miercurea Nirajului și Sărățeni din Autostrda A8
CNAIR a început demersurile pentru organizarea licitației de atribuire a lotului cuprins între Miercurea Nirajului și ...
Compania Națională de Administrate a Infrastructurii Rutiere a trimis astăzi spre validare către Agenția Națională ...