Scurgere masiva de date la imobiliare.ro! Peste 200.000 de clienti, afectati

Portalul imobiliare.ro a cunoscut o scurgere masiva de date, o eroare catastrofala din punct de vedere GDPR descoperita inca din decembrie 2020. Compania, desi a fost anuntata, a permis ca datele a peste 200.000 de clienti sau parteneri sa fie nesecurizate. Asta inseamna ca oricine putea sa obtina adresa unei persoane, CNP-ul, adresa de e-mail, numere de telefon si numele complet.

Conform unei analize efectuate de un actor tert, imobiliare.ro nu a securizat stocarea (AWS S3 Bucket) datelor personale ale clientilor si partenerilor. Asadar, oricine avea adresa URL (link-ul potrivit) putea sa obtina imediat acces la peste 200.000 de date personale care, in marea lor majoritate, erau complete.

UPDATE 13:29 - Imobiliare.ro a oferit un raspuns pe care il puteti consulta la finalul articolului!

Analiza mentionata anterior releva faptul ca 35.738 de fisiere .PDF si 165.316 fisiere .PJG care contin date personale sensibile au putut fi accesate cu usurinta de catre oricine. Acestea erau formate din:

 

 

Conform informatiilor furnizate WebsitePlanet, numarul minim de persoane fizice sau juridice afectate este de 200.000. Chiar si asa, impactul total al acestei greseli GDPR nu poate fi inca cuntificat. 

Datele personale ale clientilor si partenerilor imobiliare.ro erau stocate intr-acelasi loc, iar majoritatea dintre acestea erau complete. Asadar, nu se poate estima cu exactitate ce si cat s-a scurs online si cum au fost persoanele vizate impactate de aceasta eroare. Spre exemplu, unele dosare electronice stocate de portal contineau doar informatii despre cumparator sau vanzator, insa altele aveau si date complete despre agentul imobiliar.

Avand in vedere descoperirile facute, este foarte posibil ca majoritatea clientilor website-ului sa fie vizati in viitor de mai multe tentative de folosire ilegala a datelor lor personale. Utilizatorii de rea-credinta a mediului online vor putea colecta toate aceste informatii sensibile si vor reusi sa isi creeze o impresie cu privire la nivelul de trai al fiecaruia. Chiar daca nu au fost scurse informatii cu privire la tranzactii, utilizatorii rauvoitori vor putea utiliza valoarea proprietatilor cumparate sau vandute drept un indice al bogatiei personale pentru fiecare utilizator al platformei. Pe primul loc, insa, se afla posibilitatea ca identitatea acestor oameni sa fie furata. 



Mai mult, disponibilitatea cartilor de identitate, a adresei reale si a semnaturii valabile pentru oricine vrea sa le foloseasca in alte scopuri decat cele legale inseamna ca se pot intreprinde activitati in numele unui client sau partener imobiliare.ro fara ca acesta sa stie ce se intampla. 

Echipa de cercetare a Websiteplanet au anuntat imobiliare.ro ca datele personale a sute de mii de utilizatori sunt expuse fara niciun fel de securizare in mediul online inca de la inceputul lunii decembrie 2020. In prima instanta, nu au raspuns.

In incercarea de a-i avertiza cu privire la posibilitatea impactului negativ al acestei scurgeri de date personale, echipa care a descoperit aceasta eroare a contactat detinatorul imobiliare.ro, adica Ringier. Acestia au raspuns si au spus ca pe 11 ianuarie 2021 locul in care erau stocate datele personale ale clientilor si partenerilor a fost securizat corespunzator.

Utilizatorii imobiliare.ro nu puteau intreprinde vreo actiune care sa le permita criptarea datelor personale, asadar vina pentru orice fapte ilegale disjunse din aceasta intamplare va apartine integral portalului.

Este, totusi, util sa luati legatura cu institutiile financiare si autoritatile competente pentru a le pune in alerta cu privire la aceasta descoperire. In situatia in care datele personale sunt folosite fara autorizatia detinatorului de drept se va putea actiona mai rapid si nu va exista confuzie cu privire la cele intamplate.

O informare publica cu privire la cele intamplate nu pare a fi fost publicata de catre imobiliare.ro, dupa o verificare a primei pagini a site-ului.

E-Juridic.ro a notificat imobiliare.ro cu privire la publicarea acestui articol si vom publica raspunsul companiei, daca acesta ne va fi oferit.

In urma publicarii articolului, am contactat platforma pentru un raspuns. 

Il redam integral mai jos. 

"In luna ianuarie 2021, am detectat o potentiala vulnerabilitate in sistemele noastre interne de stocare a datelor. Compania noastra a demarat prompt o investigatie. Vulnerabilitatea a fost rapid remediata. Investigatiile interne cu privire la cauze si consecintele potentiale continua.

Asiguram, pe aceasta cale, ca pentru Imobiliare.ro siguranta datelor este o prioritate si ca depunem eforturi continue pentru a proteja confidentialitatea si integritatea informatiilor din platformele noastre, respectand toate normele in vigoare", ne-a transmis imobiliare.ro.
 

Iata cum sa va protejati firma prin politici si proceduri GDPR inteligente si eficiente!

In Romania ni se cere aplicarea Regulamentului 679/2016 cu privire la protectia datelor cu caracter personal, fara a avea insa la dispozitie prea multe norme si bune practici. Documentele ori deciziile autoritatii sunt putine si destul de vagi, lasand la latitudinea fiecarei firme particularizarea propriilor politici de GDPR privind diversele activitati.
 
Dorind sa acopere aceasta lipsa, un grup de specialisti GDPR acreditati, cu experienta directa in implementarea Regulamentului 679/2016 in firme mari din Romania, va ofera acum lucrarile pe stick: Manual de politici GDPR si Manual de Proceduri GDPR.

Unica in domeniul politicilor destinate implementarii GDPR, va pune la dispozitie acum o serie de modele de politici GDPR pentru diverse activitati obligatorii, precum si sfaturi pentru implementarea lor rapida si eficienta.