Cristian Iosub, expert în domeniul IT cu o activitate de peste 17 ani, a explicat, pentru Main News, că a încheiat un contract de leasing la OTP în luna martie. Pentru că avea nevoie de o serie de acte doveditoare, a accesat platforma online pusă la dispoziţie de OTP Leasing – MyLeasing (otp-leasing.ro).
Din discuţiile pe care le-ar fi purtat cu reprezentanţii companiei, ştia de existenţa platformei, dar nu primise nicio informaţie în legătură cu modul în care urma să primească datele necesare autentificării pe platformă, potrivit clientului OTP Leasing.
„După ce am ridicat maşina, mi-am dat seama că nu este ceva automatizat, am zis că nu e o problemă, că nu trebuie să îmi facă mie cineva cont, aşa că am intrat pe platformă, unde mi-am făcut cont singur. Am văzut foarte mulţi clienţi acolo, am văzut multe contracte, dar nu am văzut detalii personalizate legate de contul meu”, a declarat Cristian Iosub.
La câteva zile distanţă, reprezentanţii companiei i-ar fi transmis datele pentru autentificarea pe platformă, un cont distinct faţă de cel pe care şi-l crease singur.
„Când m-am logat, am văzut maşina, am văzut plata de avans, contractul, tot ce am nevoie. Atunci a rămas întrebarea – dacă pe acest cont văd datele astea, pe celălalt cont ce văd?”, a adăugat Cristian Iosub.
Cristian Iosub a reclamat că datele clienţilor care aveau contracte în derulare cu OTP Leasing ar fi fost doar la un click distanţă, iar accesarea lor ar fi fost disponibilă inclusiv cu contul creat de el, ce ar fi primit automat permisiuni de administrator.
„Am văzut toate contractele în derulare sau care aveau statutul activ cu datele de contact ale reprezentanţilor acelor contracte, cu scadenţa lor, cu utilajele, cu seria de şasiu şi multe alte informaţii care n-ar fi trebuit să ajungă la o altă persoană”, a explicat clientul OTP Leasing.
Problema a fost semnalată, iniţial, către OTP Leasing, iar după aproximativ o lună a fost publicată pe blogul lui, într-o postare de tip CVD, în care a atras atenţia asupra existenţei incidentului de securitate cibernetică. Acesta mai susţine că reprezentanţii companiei l-au informat că au rezolvat breşa de securitate la 9 zile de când a fost semnalată.
„Divulgarea coordonată şi responsabilă a vulnerabilităţilor – ”CVD” este forma de cooperare dintre Deţinătorii/Producătorii de servicii, sisteme şi programe informatice şi Raportorii de vulnerabilităţi (terţe persoane care identifică şi/sau raportează vulnerabilităţi ale serviciilor, programelor şi sistemelor informatice) prin care cele două părţi se coordonează în remedierea vulnerabilităţilor, înainte de divulgarea publică a informaţiilor care ar permite comunităţii largi de utilizatori, producători şi cercetători în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate”, este definiţia de pe site-ul DNSC.ro.
Posibilele consecinţe
Cristian Iosub susţine că există două consecinţe în ceea ce priveşte uşurinţa cu care ar fi avut acces la datele personale ale clienţilor care au încheiat contracte cu OTP Leasing.
„Există posibilitatea ca datele până acum să fi fost în posesia altor concurenţi sau a unor persoane cu gânduri rău-voitoare. Ăsta ar fi marele risc acum, că informaţiile au fost deja interceptate, descărcate şi poate folosite de actori maliţioşi, persoane rău intenţionate”, susţine expertul în IT.
Un alt risc indicat de clientul OTP Leasing ar fi ca datele respective să fi fost preluate în alte baze de date, folosite în general în acţiuni de phishing, ţinând cont de potenţa financiară a unor clienţi ai companiei.
„Oamenii care aveau datele acolo să fi ajuns în nişte baze de date agregate ale unor alţi actori care vor face altceva cu datele respective. Oameni care caută persoane cu putere de cumpărare. Când îţi creezi o bază de date cu care să faci acţiuni de phishing cauţi oameni cu putere de cumpărare”, a indicat Cristian Iosub.
„Înşelăciunea (phishing) este un atac care încearcă să vă fure banii sau identitatea, dezvăluind informaţii personale, cum ar fi numere de carduri de credit, informaţii bancare sau parole, pe site-uri web care pare legitime. Infractorii cibernetici sunt de obicei firme, prieteni sau ameninţări de renume într-un mesaj fals, care conţine un link la un site web de înşelătorie”, potrivit Microsoft.
OTP Leasing a depus plângere penală
OTP Leasing a precizat, pentru Main News , că a depus plângere penală împotriva lui Cristian Iosub şi a sesizat autorităţile abilitate, fără să indice care, în cel mai scurt timp de când a aflat de „accesul neautorizat”.
„Dorim să clarificăm faptul că incidentul cibernetic nu a afectat şi nu va afecta în niciun fel activitatea clienţilor OTP Leasing. Din verificările efectuate, datele accesate de către clientul în cauză au fost fragmentare şi nu a existat în niciun moment riscul alterării sau modificării lor, baza de date nefiind afectată
În acelaşi timp, menţionăm că nu a fost identificată nicio altă încercare de accesare a datelor, în afară de cea a clientului neautorizat şi nu a vizat nicio altă companie din grupul OTP”, se mai arată în răspunsul transmis de OTP Leasing.
Reprezentanţii companiei arată că incidentul cibernetic a fost remediat „în doar câteva ore de la primirea primului indiciu relevant de accesare neautorizată a datelor”.
OTP Leasing: „A depăşit termenul de ethical hacking”
OTP Leasing îl mai acuză pe Cristian Iosub că modul în care „a încercat să obţină date prin acces neautorizat la sistemele informatice” ar depăşi „în mai multe aspecte termenul de ethical hacking” şi că ar fi create premisele săvârşirii unor potenţiale infracţiuni din sfera criminalităţii informatice.
„Ethical Hacking” este un proces în care sunt detectate vulnerabilităţi ale unei aplicaţii sau ale unui sistem informatic pe care un posibil atacator le-ar putea exploata. Odată detectate, acestea sunt raportate companiei sau individului în cauză pentru a preveni ulterioare atacuri cibernetice.
În ceea ce priveşte acuzaţiile aduse de OTP Leasing, Cristian Iosub le-a respins, menţionând că nu ar fi descărcat şi nu ar fi deţinut datele financiare sau personale ale clienţilor companiei.
„Dacă aş zice că este un ethical hacking, aş zice că aş aduce un prejudiciu de imagine celor care sunt pe bune ethical hacker. De data asta nu este ethical hacking, este o raportare responsabilă a unei vulnerabilităţi. Vulnerabilitatea a fost găsită doar prin navigare, fără nicio acţiune de hacking. Nu poţi să te numeşti hacker pentru că aveai un cont undeva şi aveai drepturi de administrator de la cel care a făcut aplicaţia”, a fost răspunsul lui Cristian Iosub la acuzaţiile aduse de OTP Leasing.