Una dintre cele mai vechi companii de curierat din Romania, NEMO Express, cu afaceri de peste 120 de milioane de lei, a fost identificata ca avand grave carente de securitate, AWB-uri ale clientilor fiind PUBLICE si necriptate pe site-ul companiei. Practic, clienti care au comandat de la diferite magazine si a caror livrare s-a facut prin NEMO Express au toate datele lor usor de gasit, acestea fiind expuse public - numar de telefon, adresa, uneori si CNP, ce au comandat si cand.

[DREPT LA REPLICA NEMO Express]

In urma articolului de mai jos, publicam in integralitate dreptul la replica al NEMO Express:

In urma articolului dvs „NEMO Express, bresa MAJORA de securitate: AWB- urile clientilor, <la liber>" va solicitam un drept la replica, dupa ce am analizat cele publicate de dvs.

Ceea ce parea ca reprezinta din punct de vedere deontologic o știre de presa, o informare de interes general realizata cu profesionalism de catre un angajat al site- ului dvs a fost in realitate o mediatizare a unui atac cybernetic avand drept tinta platforma myAWB, sectiunea de Confirmari, cu scopul evident de a compromite imaginea companiei NemoExpress.

Despre ce este vorba ?

Citeste si:
Delphi Technologies inaugureaza un centru IT global in Bucuresti
Delphi Technologies...

Prin intermediul unui program informatic a fost exploatata o functie a website-ului, cea de afisare a confirmarilor de primire pentru trimiterile postale livrate catre destinatar. Scriptul respectiv pornește de la un numar de AWB și aduna sau scade cu 1, incercand sa preia tracking-ul afisat pe site al numarului generat sperand ca este un AWB valabil. In momentul in care este gasit un AWB valabil se extrage automat link-ul valabil al confirmarii. Acest gen de atac poarta numele de BRUTE FORCE.

Informatiile din platforma online se afla in stare de confidentialitate

Specialistii IT angajati de NemoExpress au verificat, din punctul de vedere al securitatii, toate fisierele platformei și au luat masurile ce se impun, iar in acest moment atacul a fost oprit. O prima concluzie ar fi ca nu orice om obisnuit poate intra in posesia unor astfel de informatii, ci numai o persoana cu cunoștințe informatice si cu tehnici speciale. Prin urmare, informația conform careia lista cu confirmarile de primire este „la liber” pe internet este eronata. Accesul a devenit posibil numai pentru un atacator, la cateva AWB-uri si numai pentru o perioada limitata de timp. Ceea ce ne duce cu gandul ca sursa dvs (pentru ca evident ca este totul pe surse...) ar putea avea o legatura directa cu atacul informatic.

Ce facem acum?

Citeste si:
Dell Tech World: Crezi ca esti in siguranta? Nici pe DEPARTE
Dell Tech World: Crezi ca...

Am dispus deja suplimentarea masurilor de securitate ale platformei si, imediat, vom informa clientii ale caror AWB—uri ar fi putut fi descarcate sau vizualizate de catre hackeri. In momentul in care vom obține raportul final va urma o intalnire cu firma de avocatura care ne reprezinta si vom analiza care vor fi actiunile pe care le vom intreprinde impotriva celor care au incercat și este posibil sa fi si reusit intr-ooarecare masura sa aduca prejudicii de imagine companiei noastre. Ne rezervam dreptul de a ne adresa tuturor organelor abilitate pentru identificarea vinovatilor si de a-I actiona in instanta pe cei vinovati. In intervalul prevazut de lege vom notifica persoanele vizate si autoritatile in legatura cu situatia de mai sus.

-------

Articolul initial

Un specialist IT consultat de wall-street.ro a detaliat expunerea, spunand ca la o simpla cautare a gasit zeci de astfel de AWB-uri, toate publice, si ca, cel mai probabil, numarul lor este extrem de mare.

"Am gasit AWB-uri atat de luna aceasta, cat si inca din aprilie - probabil sunt toate comenzile procesate si livrate prin NEMO Express intr-un anumit interval de timp. Ce e surprinzator este ca toate aceste informatii sunt publice - adica oricine poate accesa URL-urile respective, fara parola, fara username - nu exista niciun fel de criptare sau masura de securitate".

Oficialii NEMO Express au declarat ca "La data prezentului email s-a verificat daca exista scurgeri de informatii ce pot fi supuse analizei de securitate a datelor, constatandu-se sub acest aspect inexistenta unei vulnerabilitati cunoscute". wall-street.ro a acordat companiei aproape o zi pentru ca problema sa fie rezolvata, insa, la data publicarii articolului, aceasta nu fusese remediata.

Pe AWB-urile respective sunt date confidentiale ale clientilor – ce au cumparat, cand, dar, mai periculos, adrese de contact/livrare, numere de telefon si chiar CNP-uri, dupa cum vedeti in screenshot-urile alaturate, cenzurate.

Citeste si:
NetSafe: cererea pentru training in securitate IT a crescut cu 70%
NetSafe: cererea pentru...

In imaginea de mai sus am compilat doar cateva dintre AWB-urile dintr-o singura zi de activitate a NEMO Express. Acestea sunt publicate pe site-ul companiei in format .JPG si pot fi vizualizate de oricine, fara a fi necesara nicio parola sau user name.

NEMO Express, cu peste 360 de angajati, este una dintre ultimele companii de curierat controlate de actionari romani - Dan Dumitru Serbanescu si Florian Stanila. FAN Courier are, de asemenea, actionariat romanesc, in timp ce jucatori precum DPD, Urgent Cargus sau DHL au actionariat strain.

Ce spune expertul in GDPR – avocat Ana-Maria Udriste, Avocatoo.ro

In cazul de fata vorbim, pe de o parte, de date personale – nume, prenume, adresa de domiciliu, adresa de livrare, care sunt protejate de GDPR, dar si de informatii care pot fi considerate in anumite conditii ca fiind secrete comerciale, mai ales ca poti vedea expeditorul, destinatarul, precum si continutul trimiterii (acolo unde a fost indicat).

Nemo Express, in calitate de operator, are obligatia de a lua masuri care sa asigure confidentialitatea si securitatea prelucrarii acestor date, conform art. 32 alin. (1) GDPR, prin raportare la stadiul tehnologic. Mai mult, unul din principiile fundamentale ale GDPR este cel al ”integritatii si confidentialitatii”, regasit in art. 5 alin. (1) lit. f) – datele personale trebuie sa fie ”prelucrate intr-un mod care asigura securitatea adecvata a datelor cu caracter personal, inclusiv protectia impotriva prelucrarii neautorizate sau ilegale si impotriva pierderii, a distrugerii sau a deteriorarii accidentale, prin luarea de masuri tehnice sau organizatorice corespunzatoare („integritate si confidentialitate”).

Faptul ca pe link-uri publice, accesibile oricarei persoane din exterior, se pot vedea AWB-urile scanate, cu toate detaliile, fara a fi anonimizate sau confidentiale reprezinta o bresa de securitate.

Potrivit legislatiei nationale si europene, pentru nerespectarea sau implementarea defectuoasa a unor masuri de securitate, operatorul risca o amenda de 10 mil euro sau 2% din cifra de afaceri, in functie de care valoare este mai mare.

Daca se va ajunge aici, pentru a stabili cuantumul sanctiunii, vor fi avute in vedere urmatoarele circumstante:

(a) natura, gravitatea si durata incalcarii, tinandu-se seama de natura, domeniul de aplicare sau scopul prelucrarii in cauza, precum si de numarul persoanelor vizate afectate si de nivelul prejudiciilor suferite de acestea;

In cazul de fata vorbim de mii de persoane afectate, la nivel national, ale caror date personale sunt accesibile prin intermediul unor link-uri unde doar schimbi adresa url-ului.

De asemenea, va trebui analizat (a) de cand sunt aceste date publice, (b) daca sunt niste ramasite sau practic se actualizeaza in timp real, (c) prejudiciile suferite de persoanele vizate.

(b) daca incalcarea a fost comisa intentionat sau din neglijenta;

(c) orice actiuni intreprinse de operator sau de persoana imputernicita de operator pentru a reduce prejudiciul suferit de persoana vizata; - daca ne uitam la cazul Equifax din SUA, acestia au implementat inclusiv un fond destinat despagubirii persoanelor vizate afectate de divulgarea a peste 147 milioane de date personale.

(d) gradul de responsabilitate al operatorului tinandu-se seama de masurile tehnice si organizatorice implementate de acesta; - acest lucru se va analiza punctual, insa implementarea unor masuri care sa nu lase macar link-urile disponibil publice accesibile oricarei persoane ar fi trebuit adresata inca de la inceput, mai ales in conditiile obiectului de activitate – pana la urma Nemo Express isi concentreaza activitatea in jurul acestor AWB-uri pentru a-si duce la indeplinire sarcinile de livrare. Insa daca ne uitam la nota de informare de pe site-ul celor de la Nemo Expres, la politica de confidentialitate, vedem ca aceasta este inca facuta in baza Legi nr. 677/2001, care are aproape un an de cand nu mai este in vigoare, de cand a devenit GDPR aplicabil.

(e) eventualele incalcari anterioare relevante comise de operator;

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia incalcarea si a atenua posibilele efecte negative ale incalcarii;

(g) categoriile de date cu caracter personal afectate de incalcare; -intr-adevar, nu vorbim de date cu caracter sensibil, precum CNP sau date medicale, insa avem publice numele, prenumele, telefonul, adresa de livrare/domiciliu. Practic, in acest moment, daca cineva ar vrea sa afle despre o persoana unde sta in mod concret, o poate face doar uitandu-se la acest AWB.

(h)modul in care incalcarea a fost adusa la cunostinta autoritatii de supraveghere, in special daca si in ce masura operatorul sau persoana imputernicita de operator a notificat incalcarea;

O asemenea bresa de securitate merge chiar mai departe de GDPR. Ganditi-va ca asa poti afla furnizorii unei companii si preturile la care vand acestia marfa (pentru ca au posibilitatea de plata ramburs) sau ca sunt informatii personale, despre care persoanele nu ar fi vrut sa se afle vreodata (cum ar fi medicamente pentru anumite afectiuni, care sunt trecute la rubrica de observatii). Prejudiciul intr-un asemenea caz va trebui analizat pe fiecare situatie concreta in parte.

Pe langa sanctiunea propriu-zisa aplicata eventual de autoritate, Nemo Expres ar trebui sa fie atent si la:

(a) actiuni din partea clientilor, persoane fizice sau juridice, care pot cere despagubiri pentru incalcarea obligatiilor de confidentialitate, pe langa obligatiile prevazute de GDPR (pentru ca eu, in calitate de client, cand apelez la tine, am siguranta ca informatiile privind acele actiuni nu vor deveni publice);

(b) actiuni din partea destinatarilor livrarilor respective, pentru nerespectarea GDPR prin permiterea divulgarii neautorizate la date personale.

Ce trebuie sa retinem de aici este ca GDPR nu este un bau-bau. Datele noastre au fost expuse cu mult inaintea aparitiei lui – insa acum suntem mai constienti de acest fenomen – aproape saptamanal avem cate o companie de renume amendata. Ceea ce va duce la constientizarea importantei datelor personale in randul celor care le detin, sa nu ni le mai dam peste tot si sa nu le mai lasam expuse. Cum e in cazul de fata – nu cred ca ii convine cuiva ca adresa lui de domiciliu sa fie publica. Sau sa stie si alte persoane ce a cum.

Sfatul meu pentru companii este sa isi rupa o bucatica din timp si sa inceapa sa lucreze la conformitate – pentru ca nu se face de pe o zi pe alta, ci este un proces de durata, in timp. Fiecare actiune pe care o faci trebuie sa fie documentata, proiectata si structurata de o asemenea maniera incat sa respecte principiile protectiei datelor personale", incheie Ana-Maria Udriste, de la Avocatoo.ro.


Te-ar putea interesa si:


Mai multe articole din sectiunea IT & C »



Citeste si
(P) Vrei sa supraveghezi video? Ai grija la GDPR!