🇷🇴 Prezență vot alegeri prezidențiale

Mii de clienți ai OTP Leasing puteau fi victimele unei scurgeri de date de proporții, în condițiile în care datele personale stocate pe platforma online puteau fi accesate de oricine, susține un client al companiei. Clientul în cauză, expert în IT, Cristian Iosub, este cel care a descoperit vulnerabilitatea și a reclamat breșa de securitate, înainte de a o publica într-o postare pe blogul personal. OTP Leasing a recunoscut că a existat incidentul informatic, dar l-a acuzat pe Cristian Iosub că a încercat să obțină date prin acces neautorizat și a anunțat că a depus plângere penală împotriva acestuia.

Cristian Iosub, expert în domeniul IT cu o activitate de peste 17 ani, a explicat, pentru Main News, că a încheiat un contract de leasing la OTP în luna martie. Pentru că avea nevoie de o serie de acte doveditoare, a accesat platforma online pusă la dispoziție de OTP Leasing – MyLeasing (otp-leasing.ro).

Din discuțiile pe care le-ar fi purtat cu reprezentanții companiei, știa de existența platformei, dar nu primise nicio informație în legătură cu modul în care urma să primească datele necesare autentificării pe platformă, potrivit clientului OTP Leasing.

„După ce am ridicat mașina, mi-am dat seama că nu este ceva automatizat, am zis că nu e o problemă, că nu trebuie să îmi facă mie cineva cont, așa că am intrat pe platformă, unde mi-am făcut cont singur. Am văzut foarte mulți clienți acolo, am văzut multe contracte, dar nu am văzut detalii personalizate legate de contul meu”, a declarat Cristian Iosub, pentru Main News.

La câteva zile distanță, reprezentanții companiei i-ar fi transmis datele pentru autentificarea pe platformă, un cont distinct față de cel pe care și-l crease singur.

„Când m-am logat, am văzut mașina, am văzut plata de avans, contractul, tot ce am nevoie. Atunci a rămas întrebarea – dacă pe acest cont văd datele astea, pe celălalt cont ce văd?”, a adăugat Cristian Iosub.

(Foto: Screenshot cu interfața platformei după autentificarea utilizatorului – sursă: Data Breach OTP Leasing – CVD – Cristian Iosub)

Cristian Iosub a reclamat că datele clienților care aveau contracte în derulare cu OTP Leasing ar fi fost doar la un click distanță, iar accesarea lor ar fi fost disponibilă inclusiv cu contul creat de el, ce ar fi primit automat permisiuni de administrator.

„Am văzut toate contractele în derulare sau care aveau statutul activ cu datele de contact ale reprezentanților acelor contracte, cu scadența lor, cu utilajele, cu seria de șasiu și multe alte informații care n-ar fi trebuit să ajungă la o altă persoană”, a explicat clientul OTP Leasing.

Problema a fost semnalată, inițial, către OTP Leasing, iar după aproximativ o lună a fost publicată pe blogul lui, într-o postare de tip CVD, în care a atras atenția asupra existenței incidentului de securitate cibernetică. Acesta mai susține că reprezentanții companiei l-au informat că au rezolvat breșa de securitate la 9 zile de când a fost semnalată.

• „Divulgarea coordonată și responsabilă a vulnerabilităților – ”CVD” este forma de cooperare dintre Deținătorii/Producătorii de servicii, sisteme și programe informatice și Raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele două părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producători și cercetători în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate”, este definiția de pe site-ul DNSC.ro.

Posibilele consecințe

Cristian Iosub susține că există două consecințe în ceea ce privește ușurința cu care ar fi avut acces la datele personale ale clienților care au încheiat contracte cu OTP Leasing.

„Există posibilitatea ca datele până acum să fi fost în posesia altor concurenți sau a unor persoane cu gânduri rău-voitoare. Ăsta ar fi marele risc acum, că informațiile au fost deja interceptate, descărcate și poate folosite de actori malițioși, persoane rău intenționate”, susține expertul în IT.

Un alt risc indicat de clientul OTP Leasing ar fi ca datele respective să fi fost preluate în alte baze de date, folosite în general în acțiuni de phishing, ținând cont de potența financiară a unor clienți ai companiei.

„Oamenii care aveau datele acolo să fi ajuns în niște baze de date agregate ale unor alți actori care vor face altceva cu datele respective. Oameni care caută persoane cu putere de cumpărare. Când îți creezi o bază de date cu care să faci acțiuni de phishing cauți oameni cu putere de cumpărare”, a indicat Cristian Iosub.

• „Înșelăciunea (phishing) este un atac care încearcă să vă fure banii sau identitatea, dezvăluind informații personale, cum ar fi numere de carduri de credit, informații bancare sau parole, pe site-uri web care pare legitime. Infractorii cibernetici sunt de obicei firme, prieteni sau amenințări de renume într-un mesaj fals, care conține un link la un site web de înșelătorie”, potrivit Microsoft. 

OTP Leasing a depus plângere penală

OTP Leasing a precizat, pentru Main News, că a depus plângere penală împotriva lui Cristian Iosub și a sesizat autoritățile abilitate, fără să indice care, în cel mai scurt timp de când a aflat de „accesul neautorizat”.

„Dorim să clarificăm faptul că incidentul cibernetic nu a afectat și nu va afecta în niciun fel activitatea clienților OTP Leasing. Din verificările efectuate, datele accesate de către clientul în cauză au fost fragmentare și nu a existat în niciun moment riscul alterării sau modificării lor, baza de date nefiind afectată.

În același timp, menționăm că nu a fost identificată nicio altă încercare de accesare a datelor, în afară de cea a clientului neautorizat și nu a vizat nicio altă companie din grupul OTP”, se mai arată în răspunsul transmis de OTP Leasing.

Reprezentanții companiei arată că incidentul cibernetic a fost remediat „în doar câteva ore de la primirea primului indiciu relevant de accesare neautorizată a datelor”.

OTP Leasing: „A depășit termenul de ethical hacking”

OTP Leasing îl mai acuză pe Cristian Iosub că modul în care „a încercat să obțină date prin acces neautorizat la sistemele informatice” ar depăși „în mai multe aspecte termenul de ethical hacking” și că ar fi create premisele săvârșirii unor potențiale infracțiuni din sfera criminalității informatice.

• „Ethical Hacking” este un proces în care sunt detectate vulnerabilități ale unei aplicații sau ale unui sistem informatic pe care un posibil atacator le-ar putea exploata. Odată detectate, acestea sunt raportate companiei sau individului în cauză pentru a preveni ulterioare atacuri cibernetice.

În ceea ce privește acuzațiile aduse de OTP Leasing, Cristian Iosub le-a respins, menționând că nu ar fi descărcat și nu ar fi deținut datele financiare sau personale ale clienților companiei.

„Dacă aș zice că este un ethical hacking, aș zice că aș aduce un prejudiciu de imagine celor care sunt pe bune ethical hacker. De data asta nu este ethical hacking, este o raportare responsabilă a unei vulnerabilități. Vulnerabilitatea a fost găsită doar prin navigare, fără nicio acțiune de hacking. Nu poți să te numești hacker pentru că aveai un cont undeva și aveai drepturi de administrator de la cel care a făcut aplicația”, a fost răspunsul lui Cristian Iosub la acuzațiile aduse de OTP Leasing.

Sursă foto: Inquam Photos / Octav Ganea

Share this...

Facebook

Twitter

Linkedin

Whatsapp