Ghiseul.ro, vulnerabil în fața hackerilor: platforma are datele a milioane de români. Cum a fost descoperită problema?
Ghiseul.ro e o componentă importantă din ceea ce putem numi digitalizarea statului. Nu e însă perfect, cum te așteptai și cum au descoperit experții.
Specialiști în securitate cibernetică ai CERT-RO și ADR au eliminat o vulnerabilitate care ar fi putut determina accesarea anumitor date personale pentru utilizatori ai platformei ghiseul.ro. Totuși, nu aceștia au găsit-o, ci laudele merg la Alexandru-Ionuț Panait.
„Deoarece nu există sisteme bulletproof, securitatea cibernetică este un domeniu extrem de delicat. Mulțumesc echipelor CERT-RO și ADR pentru profesionalismul, promptitudinea și eficiența de care au dat dovadă în remedierea breșei de securitate raportate de mine către organele abilitate. Împreună am izolat cu succes o vulnerabilitate a portalului ghiseul.ro.”
Alexandru-Ionuț Panait
Prin demersul și sesizarea acestuia a fost eliminat riscul de securitate prin care actori rău intenționați ar fi putut obține acces neautorizat la date aparținând utilizatorilor.
Când a identificat problema, Alexandru i-a contactat pe cei de la Asociaţia Blockchain România. Aceştia l-au îndrumat să raporteze autorităţilor competente această problemă majoră.
El susține că, în urma folosirii unui flux normal din ghiseul.ro, a sesizat problema. Puteau fi obţinute CNP-urile deţinătorilor de bunuri de la toate instituţiile înrolate în sistemul naţional, cât şi adresele unde cetăţenii locuiesc şi mai ales date despre bunurile pe care aceştia le deţin. Pe 1 aprilie, Alexandru a depus o sesizare către CERT-RO cu toate detaliile referitoare la reproducerea acestei vulnerabilităţi.
Statul nu încurajează white hat hacking, ca astfel de probleme să fie descoperite mai repede
Prin white hat hacking, companii și state pot încuraja identificarea problemelor în sistemele critice. Totuși, la nivel național, nu avem o politică în acest sens. Ba mai mult, dacă cineva ar vrea să facă asta, poate fi acuzat de hacking și judecat în consecință.
Tocmai de aceea merită menționat că această vulnerabilitate care expune datele personale ale utilizatorilor a fost sesizată ca urmare a utilizării sistemului conform destinaţiei sale.
CERT-RO spune că autoritățile încurajează raportarea responsabilă de vulnerabilități de securitate cibernetică, fie direct către gestionarii sistemelor implicate, fie prin serviciul de raportare vulnerabilități pus la dispoziție de Centru dedicat profesioniștilor în securitate cibernetică, precum și cetățenilor care au identificat o vulnerabilitate ca utilizatori ai unui serviciu public online.