În urmă cu câteva zile a fost publicat un Raport al experţilor Website Planet care anunţa o breşă de securitate a portalului imobiliare.ro, fiind vorba accesul nesecurizat a 201.087 fişiere din baza de date a companiei. Lansat în 2000, imobiliare.ro este cel mai mare portal imobiliar din România, oferind serviciile sale atât agenţiilor imobiliare, cât şi persoanelor fizice din România. Compania Realmedia Network SA este o filială a grupului media elveţian Ringier. Pe acest portal, clienţii îşi pot publica ofertele astfel că, potrivit companiei, peste 1.000 de agenţii imobiliare beneficiază de serviciile sale şi susţin că înregistrează peste 1 milion de vizitatori unici pe lună. Imobiliare.ro promovează o selecţie de proprietăţi, inclusiv construcţii noi în cadrul complexelor rezidenţiale şi comerciale moderne. Compania este activă şi în promovarea serviciilor sale prin parteneriate cu publicaţii şi portaluri de prestigiu din România. Breşa de securitate a fost posibilă datorită unor configurări greşite a mediului unde este stocată baza de date (AWS S3 Bucket), oricine putând să acceseze aceste date introducând adresa URL. Acest lucru ar fi putut fi uşor evitat dacă ar fi fost adoptate măsuri de securitate de bază, cum ar fi de exemplu protecţia cu o parola. Amazon Web Services (AWS) Simple Storage Service (S3) este un mediu de stocare in cloud, similar cu un folder de fişiere şi în acest caz nu poate fi considerat responsabil pentru lipsa măsurilor de securitate care cad sarcina operatorului. Echipa Website Planet a sesizat prima dată proprietarii Imobiliare.ro privind această breşă de securitate pe 1 decembrie 2020, transmiţând totodată un mesaş şi către Amazon Web Services (AWS) pe 11 decembrie 2020, dar nu au primit nici un fel de răspuns.

In luna ianuarie 2021, după câteva încercări suplimentare, Echipa Website Planet a contactat direct Compania Ringier (care deţine Imobiliare.ro) care a luat măsuri şi a remediat eroarea de configurare pe 11 ianuarie 2021. În acest moment nu se cunoaşte cu exactitate dacă au fost şi alte persoane care au profitat de disponibilitatea acestor date în spaţiul public. O combinaţie de nume complet, adresă, carte de identitate naţională şi semnătură sunt suficiente pentru furtul de identitate şi fraudă. În plus, detaliile personale ale utilizatorului ar putea fi utilizate pentru a comite fraude pe alte platforme fără ca victima să conştientizeze faptul că are loc o astfel de activitate. Conform raportului, datele expuse au fost stocate în 35.738 fişiere .PDF şi 165.316 .JPG şi au inclus informaţii de identificare personală (PII), cum ar fi:

Nume complete

Numere de telefon

Adresa de acasa

E-mailuri

Cod Numeric Personal

Semnături personale

Alte informaţii confidenţiale despre clienţi au inclus:

Contracte imobiliare între clienţi şi agenţie.

Documente de proprietate, inclusiv planuri arhitecturale, specificaţii detaliate şi locaţii ale proprietăţii.

Extracte funciare şi documente ANCPI (Agenţia Naţională pentru Cadastru şi Publicitate)

Imagini de profil utilizator.

Copii scanate ale cărţilor de identitate naţionale, inclusiv coduri de identificare.

Preţul solicitat al proprietăţii.

Descriere detaliată a proprietăţilor, inclusiv locaţia, împrejurimile şi serviciile locale.

Având în vedere că Realmedia Network SA nu a publicat până în acest moment (07.02.2021-12:00) nici o informare publică pe site privind această breşă, nu putem şti cu exactitate cum a gestionat compania această breşă de securitate şi dacă şi-a îndeplinit obligaţiile legale în aceste situaţii.

Citeste mai multe pe adevărul.ro

Update

Portalul Imobiliare.ro aduce următoarele precizări: „În luna ianuarie 2021, am detectat o potențială vulnerabilitate în sistemele noastre interne de stocare a datelor. Compania noastră a demarat prompt o investigație. Vulnerabilitatea a fost rapid remediată. Investigațiile interne cu privire la cauze și consecințele potențiale continuă.

Asigurăm, pe această cale, că pentru Imobiliare.ro siguranța datelor este o prioritate și că depunem eforturi continue pentru a proteja confidențialitatea și integritatea informațiilor din platformele noastre, respectând toate normele în vigoare.”