Cum a depistat un tânăr de doar 25 de ani o breşă majoră de securitate la Ghişeul.ro ce ar fi putut afecta datele personale a milioane de români
0
Alexandru Panait, tânărul de doar 25 de ani care a creat proiectul ePrimariaTa, prin care au fost digitalizate sute de primării, a identificat recent o breşă majoră de securitate pe SNEP (Sistemul Naţional Electronic de Plată), breşă ce ar fi putut afecta datele personale a milioane de români.
Alexandru Panait a descoperit vulnerabilitatea pe 1 aprilie. “În urma folosirii unui flux normal din ghiseul.ro, datorită experienţei în securitate informatică pe care am acumulat-o în ultimii ani de activitate, am sesizat că SNEP (Sistemul Naţional Electronic de Plată) avea o breşă majoră de securitate prin care se puteau obţine CNP-urile deţinătorilor de bunuri de la toate instituţiile înrolate în sistemul naţional, cât şi adresele unde cetăţenii locuiesc şi mai ales date despre bunurile pe care aceştia le deţin”.
În momentul în care a conştientizat gravitatea situaţiei, fără a divulga informaţii tehnice, Alexandru a contactat partenerii juridici de la Asociaţia Blockchain România, aceştia îndrumându-l să raporteze autorităţilor competente această problemă majore ce ţine de securitatea naţională. Drept urmare, tot pe 1 aprilie, Alexandru a depus o sesizare către CERT.RO (Centrul Naţional De Răspuns La Incidentele De Securitate Cibernetică), cu toate detaliile referitoare la reproducerea acestei vulnerabilităţi. Şi cu menţiunea că această vulnerabilitate ce expune datele personale ale utilizatorilor a fost sesizată că urmare a utilizării sistemului conform destinaţiei sale.
„Le-am transmis acestora şi toate datele din analiza mea prin care am dedus că această vulnerabilitate nu a fost exploatată de nimeni. Şi că potenţialul de date ce puteau fi exploatate este de până la 10 milioane de identităţi. Le-am explicat cum trebuie să verifice dacă vulnerabilitatea a fost exploatată. Toate aceste analize le-am dedus din afara sistemului, fără să văd efectiv modul de operare al platformei, dar deducând-o în baza analizei făcute din exterior pe baza interfeţelor publice”, mai spune Alexandru Panait.
Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, Autoritatea pentru Digitalizarea României şi Alexandru-Ionuţ Panait au colaborat la remedierea vulnerabilităţii.
Tânărul mai spune că din calculele sale, un atacator, prin crearea unui algoritm care să reproducă parcurgerea fluxului vulnerabil, „putea să exploateze prin aceasta breşă de securitate datele la aproximativ 14 milioane de români”.
„Este îmbucurător că în România există un număr semnificativ de specialişti - cercetători în securitate cibernetică - ce se concentrează pe descoperirea şi raportarea responsabilă de vulnerabilităţi detectate în platforme, servicii şi aplicaţii accesibile online”, precizează reprezentanţii Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică.
Se încarcă comentariile...
