Date ale utilizatorilor în platforma comparator oferte furnizori energie, expuse dintr-o eroare. ANRE: nu a fost atac cibernetic

Date ale utilizatorilor în platforma comparator oferte furnizori energie, expuse dintr-o eroare. ANRE face precizări.

Potrivit Mediafax, pe rețelele sociale apăruse o informație conform căreia datele personale a 13 milioane de români au fost furate, „într-un atac fără precedent”.

Incidentul a expus datele a 1.000 de persoane fizice, potrivit informațiilor preliminare oferite de contractantul tehnic al ANRE, informează sursa citată.

Anumite endpoint-uri ale platformei POSF ar fi putut fi accesate fără autentificare în intervalul mai 2024 – 6 august 2025, ceea ce ar fi putut permite posibilitatea obținerii neautorizate de date cu caracter personal. Vulnerabilitatea a fost remediată la data de 06.08.2025 prin blocarea accesului public la aceste endpointuri.

Conform informațiilor transmise de contractant, datele posibil expuse includ: nume, prenume; cod numeric personal (CNP); adresă de domiciliu; adresă de corespondență; serie și număr carte de identitate; telefon.

Precizări ANRE: Nu a fost un atac cibernetic, ci o eroare tehnică

Platforma informatică unică prin intermediul căreia se realizează schimbarea furnizorului de energie electrică și/sau de gaze naturale, POSF, a beneficiat de lucrări de mentenanță. O eroare tehnică a dus la posibilitatea accesării neautorizate a unor date, precizează Autoritatea Națională de Reglementare în domeniul Energiei (ANRE), într-o informare publică, potrivit Agerpres.

”Nu a fost un atac cibernetic. În urma unor lucrări de mentenanță derulate de către contractantul POSF, o eroare tehnică a dus la posibilitatea accesării neautorizate a unor date. Lucrările tehnice care au permis această vulnerabilitate nu au fost derulate de către ANRE, ci de către contractantul tehnic care a dezvoltat platforma.

Nu avem niciun indiciu în acest moment să considerăm că incidentul a avut intenții ostile, pentru că vulnerabilitatea a fost adusă imediat la cunoștința ANRE de către persoana care a descoperit-o. Având în vedere procesul complicat și competențele tehnice ridicate necesare pentru a accesa datele, suntem determinați să apreciem că incidentul a fost unul limitat.

Nu există dovezi că datele expuse ar fi utilizate în scopuri frauduloase sau că ar fi existat această intenție. Vulnerabilitatea a fost remediată la o oră după ce a fost descoperită”, subliniază Autoritatea.

Măsuri luate de contractantul tehnic

Potrivit sursei citate, o primă măsură care a fost luată de către contractantul tehnic a fost de natură tehnică și suplimentară. A fost dezactivat mecanismul de generare automată a API-urilor neautentificate, apoi izolarea și restricționarea tuturor endpoint-urilor vulnerabile până la remedierea completă a acestora.

De asemenea, s-a trecut la aplicarea patch-urilor de securitate și corectarea setărilor, în termen de o oră de la momentul notificării. Tot pe parte tehnică s-a efactuat un audit complet al codului și infrastructurii, au fost implementate teste automate de penetrare, a fost instruită echipei tehnică în bune practici de securitate și s-au planificat audituri periodice interne și externe.

Măsuri ANRE

De asemenea, ca măsuri administrative luate de către ANRE, s-au realizat proceduri de analiză și de obținere a clarificărilor tehnice de la contractant, inițierea de analize interne și demersuri pentru a atrage răspunderea contractorului în cazul în care va exista un prejudiciu.

În plus, un al treilea tip de măsură a fost inter-instituțională, prin care reglementatorul a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în termenul legal. Totodată, a solicitat sprijin din partea Directoratului Național pentru Securitate Cibernetică (DNSC) și Institutului de Cercetare-Dezvoltare în Informatică – ICI București.

”Amploarea datelor expuse este încă investigată, urmând a fi stabilită ulterior. Până la finalizarea investigației, ANRE se va abține de la comentarii. În acest context, subliniem că valorile vehiculate în spațiul public sunt alarmiste și neconfirmate de nimeni. Ne cerem scuze tuturor utilizatorilor pentru îngrijorările pe care acest incident le poate provoca. Protejarea datelor cu caracter personal rămâne o prioritate absolută pentru ANRE”, a menționat instituția.