Subscription modal logo Premium

Abonează-te pentru experiența stiripesurse.ro Premium!

  • cea mai rapidă sursă de informații și știri
  • experiența premium fără reclame sau întreruperi
  • în fiecare zi,cele mai noi știri, exclusivități și breaking news
DESCARCĂ APLICAȚIA: iTunes app Android app on Google Play
NOU! Citește stiripesurse.ro
 

Breșă uriașă de securitate la OTP Leasing - Datele personale a mii de clienți erau disponibile pentru oricine/ Replica instituției financiare

Radu Pop
facebook.com
internet hacker

Datele financiare și personale pentru mii de clienți ai OTP Leasing puteau fi accesate de actori nedoriți prin intermediul aplicației online, scrie pe blogul personal Cristian Iosub, cercetător în domeniul securității cibernetice.

!!!OTP Leasing a emis un punct de vedere cu privire la cele relatate de Cristi Iosub. El este prezentat în extenso la sfârșitul acestui articol

Potrivit postării de pe blogul lui Cristi Iosub, în jurul datei de 11 mai, persoane neautorizate au avut acces la datele clienților OTP Leasing ce erau disponibile în platforma MyLeasing. Iosub scrie că în data de 3 mai a creat un cont pe platformă, unde ar fi trebuit să vadă date cu privire la un contract pe care îl administrează.

Ulterior, acesta a constatat că are drepturi de administrator și că poate avea „acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte, incluzând nume, prenume, nume societate, număr de telefon, adresa e-mail, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online”.

El spune că putea șterge conturile de administrator fără să fie logat nicăieri și putea edita toate conturile din platformă, de la oameni cu un singur autoturism până la flotele auto ale companiilor și echipamente industriale.

Conform lui Iosub, un potențial atacator ar fi putut avea acces la toate contractele, le putea descărca și putea demara o campanie de phishing. De asemenea, ar fi putut vinde datele către alte firme de leasing dornice să refinanțeze creditele în favoarea lor.

Acesta scrie că nu are informații privind vechimea vulnerabilităților și câte persoane au accesat anterior bazele de date ale OTP Leasing.

Iosub mai spune că OTP Leasing a ignorat mai multe e-mail-uri trimise pe această temă și a fost contactat de o angajată care nu înțelegea gravitatea situației.

„Acum, fiecare companie își administrează resursele după propriile posibilități, dar să desemnezi departamentul de marketing ca fiind responsabil de comunicarea cu cineva care îți raportează un data breach masiv, cred că este o eroare pentru că ar trebui să existe și o înțelegere a implicațiilor, nu doar un forward la un e-mail. Dar repet, este treaba fiecăruia de a-și administra propriile resurse și mai ales priorități după cum consideră că este benefic pentru organizația sa”, conchide acesta. Iosub a semnalat, acum o lună, problema și către entitatea publică responsabilă cu astfel de cazuri: Directoratul Național de Securitate Cibernetică (DNSC).

__

Replica OTP Leasing:

Răspuns OTP Leasing (RO)

Considerăm că articolul recent apărut în media online cu privire la vulnerabilitatea sistemelor informatice ale instituției OTP Leasing conține o serie de inexactități tehnice. Mai mult decât atât, modul în care autorul, care este si client OTP Leasing, a încercat să obțină date prin acces neautorizat la sistemele informatice, depășește în mai multe aspecte termenul de ethical hacking, creându-se astfel premisele săvârșirii unor potențiale infracțiuni din sfera criminalității informatice.

Dorim să clarificăm faptul că incidentul cibernetic nu a afectat și nu va afecta în niciun fel activitatea clienților OTP Leasing. Din verificările efectuate, datele accesate de către clientul în cauză au fost fragmentare și nu a existat în niciun moment riscul alterării sau modificării lor, baza de date nefiind afectată. În același timp, menționăm că nu a fost identificată nicio altă încercare de accesare a datelor, în afară de cea a clientului neautorizat și nu a vizat nicio altă companie din grupul OTP.

Incidentul cibernetic menționat a fost remediat în doar câteva ore după primirea primului indiciu relevant de accesare neautorizată a datelor.

OTP Leasing a depus plângere penală împotriva autorului și a sesizat autoritățile abilitate în cel mai scurt timp de la atestarea accesului neautorizat.

Din analiza noastră, situația creată reprezintă și o încălcare a unor obligații contractuale, dar și a unor prevederi legale.

ACTIVEAZĂ NOTIFICĂRILE

Fii la curent cu cele mai noi stiri.

Urmărește stiripesurse.ro pe Facebook

×
NEWSLETTER

Nu uitaţi să daţi "Like". În felul acesta nu veţi rata cele mai importante ştiri.