Incident de securitate pe platforma POSF: datele a peste 13 milioane de români expuse din cauza unei erori tehnice
Incident de securitate pe platforma POSF: datele a peste 13 milioane de români expuse din cauza unei erori tehnice
Autoritatea Națională de Reglementare în domeniul Energiei (ANRE) a transmis, recent, că incidentul de pe platforma POSF nu a fost un atac cibernetic, ci rezultatul unor lucrări de mentenanță desfășurate de contractantul tehnic. Potrivit unor informații citate de mediafax, pe rețelele sociale a apărut o veste alarmantă conform căreia datele a 13 milioane de români au fost furate în urma unui atac fără precedent. Cu toate acestea, ANRE subliniază că incidentul a afectat doar 1.000 de persoane și că vulnerabilitatea a fost remediată rapid, în mai puțin de o oră, după descoperire.
Platforma POSF, utilizată pentru schimbarea furnizorilor de energie electrică și gaze naturale, a fost supusă unor lucrări de mentenanță, iar, din cauza unei erori tehnice, anumite endpoint-uri au fost accesibile fără autentificare, între 6 august 2024 și 6 august 2025. Potrivit informațiilor transmise de contractantul tehnic, datele potențial expuse includ nume, prenume, CNP, adrese și serie și număr de carte de identitate, precum și numerele de telefon. În plus, potrivit citează alba24.ro, vulnerabilitatea a fost repede identificată și blocată, pentru a preveni orice acces neautorizat.
ANRE menționează că, în urma incidentului, s-au luat măsuri tehnice pentru creșterea nivelului de securitate. Technicienii au dezactivat generarea automată a API-urilor neautentificate, au izolat toate endpoint-urile vulnerabile și au aplicat patch-uri pentru securitate. În plus, s-a realizat un audit complet al infrastructurii și codului, s-au efectuat teste automate de penetrare și s-au instruit echipele tehnice pentru bune practici de securitate. În același timp, au fost planificate audituri periodice, interne și externe, pentru a evita astfel de incidente în viitor.
Autoritatea a anunțat și că a inițiat demersuri administrative și evenimente de analiză internă pentru a determina dacă contractorul a avut vreo responsabilitate în eventuale prejudicii sau scurgeri de date. De asemenea, ANRE a notificat oficial Autoritatea Națională pentru Supravegherea Prelucrării Datelor cu Caracter Personal (ANSPDCP) despre incident și a solicitat sprijin din partea Direcției Naționale pentru Securitate Cibernetică (DNSC) și din partea Institutului de Cercetare-Dezvoltare în Informatică - ICI București.
