Portalul imobiliare.ro a cunoscut o scurgere masiva de date, o eroare catastrofala din punct de vedere GDPR descoperita inca din decembrie 2020. Compania, desi a fost anuntata, a permis ca datele a peste 200.000 de clienti sau parteneri sa fie nesecurizate. Asta inseamna ca oricine putea sa obtina adresa unei persoane, CNP-ul, adresa de e-mail, numere de telefon si numele complet.
Conform unei analize efectuate de un actor tert, imobiliare.ro nu a securizat stocarea (AWS S3 Bucket) datelor personale ale clientilor si partenerilor. Asadar, oricine avea adresa URL (link-ul potrivit) putea sa obtina imediat acces la peste 200.000 de date personale care, in marea lor majoritate, erau complete.
UPDATE 13:29 - Imobiliare.ro a oferit un raspuns pe care il puteti consulta la finalul articolului!
Analiza mentionata anterior releva faptul ca 35.738 de fisiere .PDF si 165.316 fisiere .PJG care contin date personale sensibile au putut fi accesate cu usurinta de catre oricine. Acestea erau formate din:
- nume complet;
- numar de telefon;
- adresa de domiciliu;
- e-mail;
- CNP;
- semnatura personala;
- contracte incheiate cu agentii;
- documente aferente proprietatilor (detalii specifice, locatie si planuri);
- documente cadastrale;
- imagini ale utilizatorilor;
- copii scanate ale cartii de identitate;
- preturi negociate si platite pentru proprietati;
- descrieri ample ale proprietatilor.
Scurgere masiva de date la imobiliare.ro - cine a fost afectat
Conform informatiilor furnizate WebsitePlanet, numarul minim de persoane fizice sau juridice afectate este de 200.000. Chiar si asa, impactul total al acestei greseli GDPR nu poate fi inca cuntificat.
Datele personale ale clientilor si partenerilor imobiliare.ro erau stocate intr-acelasi loc, iar majoritatea dintre acestea erau complete. Asadar, nu se poate estima cu exactitate ce si cat s-a scurs online si cum au fost persoanele vizate impactate de aceasta eroare. Spre exemplu, unele dosare electronice stocate de portal contineau doar informatii despre cumparator sau vanzator, insa altele aveau si date complete despre agentul imobiliar.
Scurgere masiva de date la imobiliare.ro - impactul
Avand in vedere descoperirile facute, este foarte posibil ca majoritatea clientilor website-ului sa fie vizati in viitor de mai multe tentative de folosire ilegala a datelor lor personale. Utilizatorii de rea-credinta a mediului online vor putea colecta toate aceste informatii sensibile si vor reusi sa isi creeze o impresie cu privire la nivelul de trai al fiecaruia. Chiar daca nu au fost scurse informatii cu privire la tranzactii, utilizatorii rauvoitori vor putea utiliza valoarea proprietatilor cumparate sau vandute drept un indice al bogatiei personale pentru fiecare utilizator al platformei. Pe primul loc, insa, se afla posibilitatea ca identitatea acestor oameni sa fie furata.
Mai mult, disponibilitatea cartilor de identitate, a adresei reale si a semnaturii valabile pentru oricine vrea sa le foloseasca in alte scopuri decat cele legale inseamna ca se pot intreprinde activitati in numele unui client sau partener imobiliare.ro fara ca acesta sa stie ce se intampla.
Scurgere masiva de date la imobiliare.ro - ce urmeaza?
Echipa de cercetare a
Websiteplanet au anuntat imobiliare.ro ca datele personale a sute de mii de utilizatori sunt expuse fara niciun fel de securizare in mediul online inca de la inceputul lunii decembrie 2020. In prima instanta, nu au raspuns.
In incercarea de a-i avertiza cu privire la posibilitatea impactului negativ al acestei scurgeri de date personale, echipa care a descoperit aceasta eroare a contactat detinatorul imobiliare.ro, adica Ringier. Acestia au raspuns si au spus ca pe 11 ianuarie 2021 locul in care erau stocate datele personale ale clientilor si partenerilor a fost securizat corespunzator.
Utilizatorii imobiliare.ro nu puteau intreprinde vreo actiune care sa le permita criptarea datelor personale, asadar vina pentru orice fapte ilegale disjunse din aceasta intamplare va apartine integral portalului.
Este, totusi, util sa luati legatura cu institutiile financiare si autoritatile competente pentru a le pune in alerta cu privire la aceasta descoperire. In situatia in care datele personale sunt folosite fara autorizatia detinatorului de drept se va putea actiona mai rapid si nu va exista confuzie cu privire la cele intamplate.
O informare publica cu privire la cele intamplate nu pare a fi fost publicata de catre imobiliare.ro, dupa o verificare a primei pagini a site-ului.
E-Juridic.ro a notificat imobiliare.ro cu privire la publicarea acestui articol si vom publica raspunsul companiei, daca acesta ne va fi oferit.
Scurgere masiva de date la imobiliare.ro - raspunsul companiei
In urma publicarii articolului, am contactat platforma pentru un raspuns.
Il redam integral mai jos.
"In luna ianuarie 2021, am detectat o potentiala vulnerabilitate in sistemele noastre interne de stocare a datelor. Compania noastra a demarat prompt o investigatie. Vulnerabilitatea a fost rapid remediata. Investigatiile interne cu privire la cauze si consecintele potentiale continua.
Asiguram, pe aceasta cale, ca pentru Imobiliare.ro siguranta datelor este o prioritate si ca depunem eforturi continue pentru a proteja confidentialitatea si integritatea informatiilor din platformele noastre, respectand toate normele in vigoare", ne-a transmis imobiliare.ro.
-- GDPR --
Iata cum sa va protejati firma prin politici si proceduri GDPR inteligente si eficiente!
In Romania ni se cere aplicarea Regulamentului 679/2016 cu privire la protectia datelor cu caracter personal, fara a avea insa la dispozitie prea multe norme si bune practici. Documentele ori deciziile autoritatii sunt putine si destul de vagi, lasand la latitudinea fiecarei firme particularizarea propriilor politici de GDPR privind diversele activitati.
Dorind sa acopere aceasta lipsa, un grup de specialisti GDPR acreditati, cu experienta directa in implementarea Regulamentului 679/2016 in firme mari din Romania, va ofera acum lucrarile pe stick:
Manual de politici GDPR si Manual de Proceduri GDPR.
Unica in domeniul politicilor destinate implementarii GDPR, va pune la dispozitie acum o serie de modele de politici GDPR pentru diverse activitati obligatorii, precum si sfaturi pentru implementarea lor rapida si eficienta.
Florin Amariei scrie pentru E-Juridic.ro din anul 2018, explicand noutatile legislative si prezentand cele mai relevente stiri din domeniu. Si-a inceput activitatea la 9AM.ro, a continuat la legestart.ro si a acoperit dintotdeauna cele mai relevante subiecte din domeniile politica, social si justitie. In prezent, scrie pentru dumneavoastra despre tot ceea ce inseamna domeniile legislativ, justitie si politico-social, cu accent pe explicarea detaliata a ce este important de retinut, cum ne afecteaza aceste informatii si de ce este bine sa aplicam legea in forma ei la zi.
Sfaturi de la Experti - Intrebari si Raspunsuri
Intrebare: Un angajat, dupa perioada maxima de concediu medical, ajunge la comisie medicala pentru pensionare anticipata. Cand se incheie contractul de munca? la momentul eliberarii deciziei de catre comisia medicala de pensionare anticipata sau la momentul eliberarii deciziei de pensionare pe caz de boala?
vezi AICI raspunsul specialistilor << Intrebare: Am avut o Intreprindere Individuala intre perioada 01.08.2023 si 30.08.2024. Pentru anul 2023 am realizat venituri impozabile in valoare de 28.000, iar pentru anul 2024 37.000. Pentru anul 2023 am platit numai impozit si sanatate, si pentru 2024 tot impozit si sanatate. CAS-ul ar fi trebuit platit in situatia de fata, tinund cont, ca nici un an nu a fost intreaga?
vezi AICI raspunsul specialistilor << Intrebare: Avem un nr. de 10 angajati cu contract de munca pe perioada nedeterminata care beneficiau de indemnizatie de somaj atunci cand au fost angajati. Nu s-a incheiat conventie cu AJOFM pentru ca angajatorul sa beneficieze de subventionarea locurilor de munca. Din cauza unor dificultati financiare s-a decis incetarea contractelor angajatilor aflati in perioada de proba cu art. 31 alin. 3. Va rog sa imi spuneti in baza caror prevederi legale refuza AJOFM reluarea platii indemnizatiei de somaj...
vezi AICI raspunsul specialistilor <<