stirile imobiliare
Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) a confirmat, vineri, un incident produs pe platforma POSF, respectiv comparatorul de oferte, după ce pe rețelele sociale apăruse o informație conform căreia datele personale a 13 milioane de români au fost furate, „într-un atac fără precedent”.
Incidentul a expus datele a 1.000 de persoane fizice, potrivit informațiilor preliminare oferite de contractantul tehnic al ANRE.
Potrivit informațiilor obținute în premieră de Mediafax de la ANRE:
Nu a fost un atac cibernetic. În urma unor lucrări de mentenanță derulate de către contractantul POSF, o eroare tehnică a dus la posibilitatea accesării neautorizate a unor date.
Lucrările tehnice care au permis această vulnerabilitate nu au fost derulate de către ANRE, ci de către contractantul tehnic care a dezvoltat platforma.
Nu avem niciun indiciu în acest moment să considerăm că incidentul a avut intenții ostile, pentru că vulnerabilitatea a fost adusă imediat la cunoștința ANRE de către persoana care a descoperit-o. Având în vedere procesul complicat și competențele tehnice ridicate necesare pentru a accesa datele, suntem determinați să apreciem că incidentul a fost unul limitat.
Nu există dovezi că datele expuse ar fi utilizate în scopuri frauduloase sau că ar fi existat această intenție.
Vulnerabilitatea a fost remediată la o oră după ce a fost descoperită.
Ce fel de date au fost expuse
Potrivit detaliilor publicat de ANRE, în urma unor lucrări de mentenanță realizate pe platforma posf.ro de către contractantul tehnic, anumite endpoint-uri ale platformei POSF ar fi putut fi accesate fără autentificare în intervalul mai 2024 – 6 august 2025, ceea ce ar fi putut permite posibilitatea obținerii neautorizate de date cu caracter personal. Vulnerabilitatea a fost remediată la data de 06.08.2025 prin blocarea accesului public la aceste endpointuri.
Conform informațiilor transmise de contractant, datele posibil expuse includ: nume, prenume; cod numeric personal (CNP); adresă de domiciliu; adresă de corespondență;serie și număr carte de identitate; telefon.
Nu se știe exact încă numărul exact al persoanelor vizate nu este confirmat în acest moment. Potrivit informațiilor suplimentare oferite de către contractant privind incidentul, au fost estimate ca fiind expuse aproximativ 1.000 de persoane fizice, iar instituția continuă să solicite informații de la contractantul tehnic pentru determinarea exactă a impactului.
Măsurile luate de ANRE
Potrivit ANRE, au fost luate trei tipuri de măsuri deja.
Este vorba de măsuri tehnice imediate și suplimentare asumate de către contractantul tehnic: Dezactivarea mecanismului de generare automata a API-urilor neautentificate. Izolarea si restrictionarea tuturor endpoint-urilor vulnerabile pana la remedierea completa a acestora. Aplicarea patch-urilor de securitate si corectarea setarilor– in termen de o ora de la momentul notificării. Audit complet al codului si infrastructurii. Implementarea de teste automate de penetrare. Instruirea echipei tehnice in bune practici de securitate. Planificarea de audituri periodice interne si externe.
La nivelul ANRE s-au luat măsuri administrative, respectiv proceduri de analiză și de obținere a clarificărilor tehnice de la contractant; inițierea de analize interne și demersuri pentru a atrage răspunderea contractorului în cazul în care va exista un prejudiciu.
Au fost luate și măsuri inter-instituționale, respectiv ANRE a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termenul legal. De asemenea, a solicitat sprijin din partea Directoratului Național pentru Securitate Cibernetică și Institutul de Cercetare-Dezvoltare în Informatică ICI București.
„Amploarea datelor expuse este încă investigată, urmând a fi stabilită ulterior. Până la finalizarea investigației, ANRE se va abține de la comentarii. În acest context, subliniem că valorile vehiculate în spațiul public sunt alarmiste și neconfirmate de nimeni. Ne cerem scuze tuturor utilizatorilor pentru îngrijorările pe care acest incident le poate provoca. Protejarea datelor cu caracter personal rămâne o prioritate absolută pentru ANRE”, au comunicat oficialii ANRE.
Articolul Datele personale a o mie de utilizatori ai comparatorului ANRE au fost expuse din cauza unei vulnerabilități. „Nu a fost atac cibernetic” apare prima dată în Mediafax.
Mediafax
O vulnerabilitate informatică descoperită la platforma online de schimbare a furnizorului de energie electrică și de gaze naturale la nivel național (POSF) gestionată de Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) a dus la vulnerabilizarea datelor persoanele introduse de aproximativ o mie de utilizatori, potrivit informațiilor obținute în exclusivitate de Mediafax.
Articolul Datele personale a o mie de utilizatori ai comparatorului ANRE au fost expuse din cauza unei vulnerabilități. „Nu a fost atac cibernetic” apare prima dată în Mediafax.Read MoreMediafax
