Potrivit postării de pe blogul lui Cristi Iosub, în jurul datei de 11 mai, persoane neautorizate au avut acces la datele clienților OTP Leasing ce erau disponibile în platforma MyLeasing.

Iosub scrie că în data de 3 mai a creat un cont pe platformă, unde ar fi trebuit să vadă date cu privire la un contract pe care îl administrează.

Ce date puteau accesa hackerii

Ulterior, acesta a constatat că are drepturi de administrator și că poate avea „acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte, incluzând nume, prenume, nume societate, număr de telefon, adresa e-mail, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online”.

El spune că putea șterge conturile de administrator fără să fie logat nicăieri și putea edita toate conturile din platformă, de la oameni cu un singur autoturism până la flotele auto ale companiilor și echipamente industriale.

Conform lui Iosub, un potențial atacator ar fi putut avea acces la toate contractele, le putea descărca și putea demara o campanie de phishing. De asemenea, ar fi putut vinde datele către alte firme de leasing dornice să refinanțeze creditele în favoarea lor.

Acesta scrie că nu are informații privind vechimea vulnerabilităților și câte persoane au accesat anterior bazele de date ale OTP Leasing.

Trei e-mail-uri trimise

Iosub mai spune că OTP Leasing a ignorat mai multe e-mail-uri trimise pe această temă și a fost contactat de o angajată care nu înțelegea gravitatea situației.

Rusia se retrage din Insula Șerpilor „în semn de bunăvoință”, după săptămâni de atacuri ucrainene. Motivul invocat
Recomandări
Rusia se retrage din Insula Șerpilor „în semn de bunăvoință”, după săptămâni de atacuri ucrainene. Motivul invocat

„Acum, fiecare companie își administrează resursele după propriile posibilități, dar să desemnezi departamentul de marketing ca fiind responsabil de comunicarea cu cineva care îți raportează un data breach masiv, cred că este o eroare pentru că ar trebui să existe și o înțelegere a implicațiilor, nu doar un forward la un e-mail. Dar repet, este treaba fiecăruia de a-și administra propriile resurse și mai ales priorități după cum consideră că este benefic pentru organizația sa”, conchide acesta.

Iosub a semnalat, acum o lună, problema și către entitatea publică responsabilă cu astfel de cazuri: Directoratul Național de Securitate Cibernetică (DNSC).

OTP Leasing face parte din grupul OTP Bank, acționari fiind OTP Bank România și Merkantil Bank Ungaria. Compania este prezentă în România din 2007, conform site-ului său.

OTP Leasing recunoaște problemele, dar îl acuză pe cel care le-a semnalat

În replică, într-un răspuns trimis Libertatea, OTP Leasing recunoaște incidentul cibernetic, dar susține că acesta „nu a afectat și nu va afecta în niciun fel activitatea clienților” și că l-a remediat „în câteva ore”. Mai mult, OTP Leasing susține că datele nu au fost accesate de nicio altă persoană în afară de autorul articolului. 

VIDEO Rezultate finale Evaluarea Națională 2022. Cîmpeanu: „A crescut numărul mediilor de 10”
Recomandări
VIDEO Rezultate finale Evaluarea Națională 2022. Cîmpeanu: „A crescut numărul mediilor de 10”

În plus, compania anunță că a sesizat autoritățile în acest caz, acuzându-l pe Cristian Iosub, adică pe cel care le-a semnalat breșa de securitate, de „potențiale infracțiuni”, chiar dacă tot compania subliniază că „nu a  existat în niciun moment riscul alterării sau modificării lor (datelor, n.red.), baza de date nefiind afectată”. 

Răspunsul integral al OTP Leasing:

„Considerăm că articolul recent apărut în media online cu privire la vulnerabilitatea sistemelor informatice ale  instituției OTP Leasing conține o serie de inexactități tehnice. Mai mult decât atât, modul în care autorul, care  este si client OTP Leasing, a încercat să obțină date prin acces neautorizat la sistemele informatice, depășește în mai multe aspecte termenul de ethical hacking, creându-se astfel premisele săvârșirii unor potențiale  infracțiuni din sfera criminalității informatice.  

Dorim să clarificăm faptul că incidentul cibernetic nu a afectat și nu va afecta în niciun fel activitatea clienților  OTP Leasing. Din verificările efectuate, datele accesate de către clientul în cauză au fost fragmentare și nu a  existat în niciun moment riscul alterării sau modificării lor, baza de date nefiind afectată. În același timp,  menționăm că nu a fost identificată nicio altă încercare de accesare a datelor, în afară de cea a clientului  neautorizat și nu a vizat nicio altă companie din grupul OTP. 

Directoare la spitalul din Baia Mare pe baza unei diplome false: a înlocuit poza și nota de pe actul de studii al unui bărbat
Recomandări
Directoare la spitalul din Baia Mare pe baza unei diplome false: a înlocuit poza și nota de pe actul de studii al unui bărbat

Incidentul cibernetic menționat a fost remediat în doar câteva ore după primirea primului indiciu relevant de  accesare neautorizată a datelor.  

OTP Leasing a sesizat autoritățile abilitate în cel mai scurt timp de la atestarea accesului neautorizat.  

Din analiza noastră, situația creată reprezintă și o încălcare a unor obligații contractuale, dar și a unor  prevederi legale”. 

La câteva minute după acest răspuns, OTP a venit cu o completare. Și anunță că a depus plângere penală contra lui Iosub.

OTP Leasing a depus plângere penală împotriva autorului și a sesizat autoritățile abilitate în cel mai scurt timp de la atestarea accesului neautorizat

OTP Leasing:

Expert în securitate informatică: Raportarea unor vulnerabilități de către utilizatorii de bună credință reprezintă o unealtă foarte utilă

Libertatea a consultat în acest caz și un alt expert în securitate cibernetică, pe Silviu Stahie, de la Bitdefender. Iar acesta a spus că „raportarea unor vulnerabilități de către utilizatorii de bună credință reprezintă o unealtă foarte utilă mai ales pentru organizațiile care lucrează cu volume mari de date personale”. Mai mult, expertul Bitdefender precizează că „limitarea efectelor negative ale unei asemenea situații trebuie să fie o prioritate pentru entitatea responsabilă”.

DISCLAIMER: Cristi Iosub, autorul descoperirii, este manager de produs la Libertatea, poziție fără atribuții editoriale. 

Urmărește-ne pe Google News
Selfieurile ucigașe! 10 poze făcute fix înainte ca protagoniștii să moară! ATENȚIE, IMAGINI SENSIBILE
GSP.RO
Selfieurile ucigașe! 10 poze făcute fix înainte ca protagoniștii să moară! ATENȚIE, IMAGINI SENSIBILE
ȘOC! Joe Biden, veste de ultimă oră pentru România! Anunțul ULUITOR, ce se întâmplă chiar acum în țară
Playtech.ro
ȘOC! Joe Biden, veste de ultimă oră pentru România! Anunțul ULUITOR, ce se întâmplă chiar acum în țară
Trei români au făcut prăpăd în Italia, la păcănele. Au folosit o dubă pe post de "berbec", ca să dea zeci de spargeri
Observatornews.ro
Trei români au făcut prăpăd în Italia, la păcănele. Au folosit o dubă pe post de "berbec", ca să dea zeci de spargeri
Horoscop 30 iunie 2022. Racii pot fi subiectul unor discuții foarte neplăcute și să strângă emoții și sentimente negative
HOROSCOP
Horoscop 30 iunie 2022. Racii pot fi subiectul unor discuții foarte neplăcute și să strângă emoții și sentimente negative
Descoperire incredibilă lângă baza care adăpostește arsenalul nuclear al NATO în Europa. Ce a găsit poliția
Știrileprotv.ro
Descoperire incredibilă lângă baza care adăpostește arsenalul nuclear al NATO în Europa. Ce a găsit poliția
Decesul care a încremenit ţara! Cântăreaţa, găsită spânzurată, la câteva zile după un mesaj misterios: "Dacă mi se întâmplă ceva, ştiţi"
Orangesport.ro
Decesul care a încremenit ţara! Cântăreaţa, găsită spânzurată, la câteva zile după un mesaj misterios: "Dacă mi se întâmplă ceva, ştiţi"
Jewelry Seven, atelierul de bijuterii custom în care pasiunea se îmbină cu creativitatea
PUBLICITATE
Jewelry Seven, atelierul de bijuterii custom în care pasiunea se îmbină cu creativitatea
POVEȘTI CARE VINDECĂ. După 19 ani de dureri de spate, un bărbat a cunoscut medicii care i-au redat mobilitatea
PUBLICITATE
POVEȘTI CARE VINDECĂ. După 19 ani de dureri de spate, un bărbat a cunoscut medicii care i-au redat mobilitatea