Breșă de securitate la OTP Leasing. Datele clienților, la liber pentru alți clienți din eroarea firmei

Potrivit postării de pe blogul lui Cristi Iosub, în jurul datei de 11 mai, persoane neautorizate au avut acces la datele clienților OTP Leasing ce erau disponibile în platforma MyLeasing.

Iosub scrie că în data de 3 mai a creat un cont pe platformă, unde ar fi trebuit să vadă date cu privire la un contract pe care îl administrează.

Ce date puteau accesa hackerii

Ulterior, acesta a constatat că are drepturi de administrator și că poate avea „acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte, incluzând nume, prenume, nume societate, număr de telefon, adresa e-mail, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online”.

El spune că putea șterge conturile de administrator fără să fie logat nicăieri și putea edita toate conturile din platformă, de la oameni cu un singur autoturism până la flotele auto ale companiilor și echipamente industriale.

Conform lui Iosub, un potențial atacator ar fi putut avea acces la toate contractele, le putea descărca și putea demara o campanie de phishing. De asemenea, ar fi putut vinde datele către alte firme de leasing dornice să refinanțeze creditele în favoarea lor.

Recomandări

Rechizitoriul asasinatului cu bombă de la Arad, validat de Curtea de Apel Timișoara. Cum încearcă fiica victimei să „arunce în aer” acuzațiile procurorului

Acesta scrie că nu are informații privind vechimea vulnerabilităților și câte persoane au accesat anterior bazele de date ale OTP Leasing.

Trei e-mail-uri trimise

Iosub mai spune că OTP Leasing a ignorat mai multe e-mail-uri trimise pe această temă și a fost contactat de o angajată care nu înțelegea gravitatea situației.

„Acum, fiecare companie își administrează resursele după propriile posibilități, dar să desemnezi departamentul de marketing ca fiind responsabil de comunicarea cu cineva care îți raportează un data breach masiv, cred că este o eroare pentru că ar trebui să existe și o înțelegere a implicațiilor, nu doar un forward la un e-mail. Dar repet, este treaba fiecăruia de a-și administra propriile resurse și mai ales priorități după cum consideră că este benefic pentru organizația sa”, conchide acesta.

Iosub a semnalat, acum o lună, problema și către entitatea publică responsabilă cu astfel de cazuri: Directoratul Național de Securitate Cibernetică (DNSC).

OTP Leasing recunoaște problemele, dar îl acuză pe cel care le-a semnalat

Recomandări

Un fost preot se spovedește în cartea sa: „Am plecat la ÎPS Teodosie, l-am miruit bine că strânsesem ceva cașcaval, a doua zi m-a și hirotonit preot”

În replică, într-un răspuns trimis Libertatea, OTP Leasing recunoaște incidentul cibernetic, dar susține că acesta „nu a afectat și nu va afecta în niciun fel activitatea clienților” și că l-a remediat „în câteva ore”. Mai mult, OTP Leasing susține că datele nu au fost accesate de nicio altă persoană în afară de autorul articolului. 

În plus, compania anunță că a sesizat autoritățile în acest caz, acuzându-l pe Cristian Iosub, adică pe cel care le-a semnalat breșa de securitate, de „potențiale infracțiuni”, chiar dacă tot compania subliniază că „nu a  existat în niciun moment riscul alterării sau modificării lor (datelor, n.red.), baza de date nefiind afectată”. 

Răspunsul integral al OTP Leasing:

„Considerăm că articolul recent apărut în media online cu privire la vulnerabilitatea sistemelor informatice ale  instituției OTP Leasing conține o serie de inexactități tehnice. Mai mult decât atât, modul în care autorul, care  este si client OTP Leasing, a încercat să obțină date prin acces neautorizat la sistemele informatice, depășește în mai multe aspecte termenul de ethical hacking, creându-se astfel premisele săvârșirii unor potențiale  infracțiuni din sfera criminalității informatice.  

Recomandări

Cine conduce industria de apărare aeronautică: Sinecuriști cu salarii de zeci de mii de lei, o cârciumăreasă și o fostă directoare de creșă

Dorim să clarificăm faptul că incidentul cibernetic nu a afectat și nu va afecta în niciun fel activitatea clienților  OTP Leasing. Din verificările efectuate, datele accesate de către clientul în cauză au fost fragmentare și nu a  existat în niciun moment riscul alterării sau modificării lor, baza de date nefiind afectată. În același timp,  menționăm că nu a fost identificată nicio altă încercare de accesare a datelor, în afară de cea a clientului  neautorizat și nu a vizat nicio altă companie din grupul OTP. 

Incidentul cibernetic menționat a fost remediat în doar câteva ore după primirea primului indiciu relevant de  accesare neautorizată a datelor.  

OTP Leasing a sesizat autoritățile abilitate în cel mai scurt timp de la atestarea accesului neautorizat.  

Din analiza noastră, situația creată reprezintă și o încălcare a unor obligații contractuale, dar și a unor  prevederi legale”. 

La câteva minute după acest răspuns, OTP a venit cu o completare. Și anunță că a depus plângere penală contra lui Iosub.

OTP Leasing a depus plângere penală împotriva autorului și a sesizat autoritățile abilitate în cel mai scurt timp de la atestarea accesului neautorizat

OTP Leasing:

Expert în securitate informatică: Raportarea unor vulnerabilități de către utilizatorii de bună credință reprezintă o unealtă foarte utilă

Libertatea a consultat în acest caz și un alt expert în securitate cibernetică, pe Silviu Stahie, de la Bitdefender. Iar acesta a spus că „raportarea unor vulnerabilități de către utilizatorii de bună credință reprezintă o unealtă foarte utilă mai ales pentru organizațiile care lucrează cu volume mari de date personale”. Mai mult, expertul Bitdefender precizează că „limitarea efectelor negative ale unei asemenea situații trebuie să fie o prioritate pentru entitatea responsabilă”.

DISCLAIMER: Cristi Iosub, autorul descoperirii, este manager de produs la Libertatea, poziție fără atribuții editoriale.