Un tânar IT-ist si student la Universitatea din Cluj a semnalat public brese de securitate în ceea ce priveste Tabloul Avocatilor, dar si CECCAR, organismul care îi reprezinta pe contabilii autorizati din România. El afirma ca date precum numele si prenumele, codul numeric personal adresa de e-mail, dar si detalii profesionale apartinând profesionistilor din cele doua domenii, zeci de mii la numar, au fost accesibile online si precizând, în cazul Tabloului Avocatilor, ca este posibil ca situatia în care aceste date sa fi putut fi accesate de public sa fi durat ani la rând. Informatiile facute publice de tânar sunt confirmate de o avocata, care a facut public faptul ca avocati din România au primit un e-mail prin care erau anuntati ca publicul a avut acces la datele lor din Tabloul Avocatilor. Stefan Lucian Deleanu, IT-st si student la Facultatea de Drept a Universitatii din Cluj, a facut publice, la începutul acestui an, pe Facebook, „notificari” privind brese de securitate în ceea ce priveste datele avocatilor aflate pe platforma IFEP si datele contabililor autorizati înscrisi în Corpul Expertilor Contabili (IFEP) si Contabililor Autorizati din Romania (CECCAR). Prima notificare a vizat CECCAR si a fost facuta în pe 3 ianuarie. „Pe data de 7 Septembrie 2023, toti contabilii din cadrul CECCAR (Contabili Experti, Contabili Autorizati, fosti contabili înca în baza de date) au suferit o bresa de date care a facut datele lor personale publice. În mod ideal si legal, trebuia sa fiti notificati de CECCAR, însa o notificare din partea lor nu a existat. ANSPDCP nu a fost notificata nici ea. Asa ca am sa fac eu treaba CECCAR si am sa notific aici contabilii despre ce date au ajuns «gratuit» pe internet. Printre datele afectate mentionam: Codul Numeric Personal (CNP), nume si prenume, data si locul nasterii, adresa (domiciliu), adresa (de serviciu), numar de telefon si numar mobil (daca este), cetatenie, numar de înregistrare CECCAR, detalii profesionale, alteles”, a scris Stefan Deleanu pe reteaua de socializare. O zi mai târziu, pe 4 ianuarie, el a transmis, tot pe Facebook, faptul ca si date din Tabloul Avocatilor care nu sunt destinate publicului larg au putut fi accesate online „Ieri, am facut public faptul ca CECCAR a declinat sa raporteze contabililor (macar) si ANSPDCP (ideal) faptul ca au suferit o bresa grava de securitate. Pe scurt, oricine accesa platforma - tabloul contabililor, vedea toate informatiile, de la CNP la adresa personala, la localitatea nasterii, la nr de telefon, la .... aproape tot. Asta fara absolut nici un comportament malicios sau «informat». Pe scurt oricine deschidea inspect element putea vedea CNP-ul oricui. Faptul ca am trimis în BCC mesajul si la ANSPDCP, astfel încât s-au sesizat si au solicitat probe, a fost pentru ca in mod anterior, IFEP a declinat de a raporta avocatilor (prin UNBR), o bresa similara. Pe scurt, daca esti avocat, urmatoarele informatii erau accesibile folosind un link indexat de catre Google Search: CNP, nume complet (Nume, prenume), baroul la care ai lucra, email Peste 37565 persoane au avut informatiile accesibile public pe internet. Daca la data de 26 Februarie 2023, erai înscris într-un barou, esti afectat”; a scris tânarul pe reteaua „de socializare. Tot el publica un e-mail intern trimis de pe o adresa a CECCAR membrilor acestui for în care reprezentantii CECCAR sustin ca un raspuns primit de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) arata, în septembrie anul trecut, într-un raspuns la o petitie, ca nu sunt afisate public datele cu caracter personal ale contabililor. Pe de alta parte, tânarul îsi mentine punctul de vedere, conform caruia publicul a avut acces online datele contabililor. În ceea ce priveste Tabloul Avocatilor, Stefan Deleanu scrie, într-un articol publicat pe site-ul companiei la care lucreaza ca „dificultatea vulnerabilitatii” a fost „scazuta”: „Vulnerabilitatea a afectat un punct final accesibil si indexat de Google, permitând atacatorilor sa descarce o lista cu toti avocatii, barourile lor corespondente, adresele lor de lucru si PIN-ul asociat (CNP)”. În ceea ce priveste perioada de încalcare a normelor de securitate, tânarul scrie „Desi nu am putut valida amploarea vulnerabilitatii, credem ca bresa a existat de la dezvoltarea initiala a IFEP, pe care am urmarit-o pâna la Aprilie 2021. Estimam ca vulnerabilitatea nu a fost gasita, exploatata în salbaticie, nici dezvaluita pentru cel putin 2 ani”. Stefan Deleanu noteaza, de asemenea: „Am gasit vulnerabilitatea în timpul cercetarii procesorului de date, precum si a managerului si proprietarului site-ului IFEP, în contextul lipsei de transparenta discutata în ceea ce priveste propunerea legislativa mentionata mai sus” (un proiect de lege care prevede reglementarea serviciilor profesionale efectuate de avocat în format electronic, initiativa legislativa înregistrata la Senatul României la data de 6.02.2023. Avocata Silvia Uscov îl felicita public pe tânarul student pentru descoperirea facuta. Într-o postare pe Facebook, avocata spune ca ea, mai multi colegi si probabil toti avocatii din România au primit un e-mail prin care erau anuntati ca datele lor personale fusesera accesibile publicului. „Contextul acestei postari este dat de e-mail-ul primit probabil de toti avocatii din România (vedeti în spam) prin care erau notificati de faptul ca la data de 28.02.2023 erau accesibile public datele personale ale acestora aflate pe platforma IFEP.(...) Mergând putin înapoi în timp, acum aproape un an a fost o întreaga dezbatere cu cloud-ul UNBR, care sa fie conectat la cloud-ul guvernamental si, astfel, sa accesam diverse baze de date. Dar mai îngrijorator pentru noi, avocatii, era ca bazele noastre cu datele clientilor sa nu fie accesate din afara, nici macar de catre organismele profesionale (ca asa suntem noi construiti, vedem riscuri oriunde). Punctam într-o dezbatere publica faptul ca nu suntem atât de bine pregatiti din punct de vedere al securitatii cibernetice si, de asemenea, ca nici proiectul de lege nu era unul bun, fiind ulterior si abandonat. Atunci mi-a venit ideea de a adresa, totusi, la 22.03.2023 o cerere de acces la date catre Intra Connect SRL, care se mentiona pe IFEP ca este operatorul de date cu caracter personal. La 12.04.2023 mi-a raspuns ca este doar împuternicit, ca operatorul este UNBR si sa ma adresez lui, ulterior schimbând si în IFEP numele operatorului plus câteva ajustari”, a scris avocata, vineri, pe pagina sa de pe reteaua de socializare. Ea subliniaza ca, potrivit art. 23 Legea 51/1995 Baroul întocmeste tabloul avocatilor cu anumite date si îl da mai departe catre instante, organe de urmarire penala, autoritati administrative si UNBR, conform art. 45 din Statutul profesiei de avocat. „Aceste date sunt: nume, prenume, titlul stiintific, data înscrierii în barou, sediul profesional, forma de exercitare a profesiei si a instantele la care au dreptul sa puna concluzii. Din ratiuni de interes public aceste date se regasesc si într-un tablou publicat de barouri si de catre UNBR la nivel national pe IFEP, ca sa nu ne trezim cu persoane care se prezinta ca avocati si nu sunt, informatia putând fi usor de accesat de orice persoana interesata. Pâna în anul 2023 IFEP oricum era înregistrat pe numele unei persoane fizice, nu pe Intra Connect, desi se pare ca ar exista un contract secret încheiat între UNBR si IFEP (de la Barouri se prelucreaza, de fapt, datele) (...) Astept cu interes desfasurarea evenimentelor. Felicitari, Stefan Deleanu, pentru descoperire!”; noteaza Silvia Uscov.
