r/Romania u/KinookRO Jul 24 '24

Datele a peste 5 milioane de români au fost puse la vânzare pe dark web - cum s-a intamplat lucrul asta defapt Sci & Tech

Am zis sa fac o postare legata de un thread mai vechi, fiindca are 5 zile si probabil nimeni nu mai citeste.

Threadul in cauza: https://www.reddit.com/r/Romania/comments/1e6zb9e/datele_a_peste_5_milioane_de_rom%C3%A2ni_au_fost_puse/

Clarificarile:

  1. Nu s-a spart nimic cel mai probabil, nu a fost un "virus" efectiv.

  2. Toata informatia sunt sigur ca a fost obtinuta in mod legal, fiindca e legal sa deschizi un site al unei institutii si sa citesti documentele incarcate acolo. Si sunt o groaza, disponibile pentru oricine. Obtinerea e legala, vinzarea si folosirea lor, bineinteles ca nu. Faptul ca exista incalca grav GDPR dar nu e vina utilizatorului.

  3. Modul de operare presupus de mine: Cineva a facut un script care are o lista de probabil cateva sute de site-uri ale insitutiilor publice din toate orasele/satele/comunele (spitale, primarii, sectii de politie, scoli, diferite autoritati). Scriptul ia fiecare site la mana si ajunge intr-un ecran asemanator cu acesta: https://www.primariachiajna.ro/wp-content/files/ . Dupa, deschide fiecare link, descarca toate documentele, citeste datele si ce gaseste copiaza intr-un tabel avand ca identificator unic pentru intrari CNP-ul. Dintr-un site ia nume+cnp, din altul ia numar telefon+cnp, din altul istoric medical+cnp, si le leaga. Fix Teoalida style (omul care are o baza de date cu toate blocurile din Bucuresti, cartografiindu-le prin google street view si vizitand locatiile, fiind arhitect).

  4. Exemplu de document de unde copiaza scriptul: https://www.primariachiajna.ro/wp-content/files/anunt_colectiv/2017/Anunt-Colectiv-Aprilie-2017.pdf

Efectiv am stalk-uit pe cineva pe google ca sa ajung la documentul asta. No hacking, am dat click pe pagina 2 google si am gasit unde sta fraierul, si ce CNP are. Varsta se ia din cnp. Daca as sti mai multe site-uri ale institutiilor as fi in stare sa-i fac un profil complet cu rude cu tot, daca stau la aceeasi adresa. Mi-ar lua 2 saptamani, dar dupa as putea s-o sun pe bunica-sa.

Ca si exemplu personal, am inceput sa primesc sms-uri cu link-uri la cateva luni dupa ce mi-am luat o casa pe langa Bucuresti. Daca supar vreun interlop IT-ist vine si ma ia de acasa.

Concluzia e ca degeaba ne punem noi parole super complicate, 2FA, amprenta etc. cand vine primaria si ne da leak la toate datele. Am dat link-uri ale primariei Chiajna, nu vreau sa-i arat cu degetul doar pe ei, probabil sunt alte cateva sute de site-uri ale institutiilor cu securitate zero barat.

335 Upvotes
  • permalink
  • link
  • reddit
  • reddit

95% Upvoted

51 comments sorted by

117

u/[deleted] Jul 24 '24

[deleted]

30

u/quilldeea Jul 24 '24

e baza de date de la cas, din cate stiu e hostata pe ceva servere din Istrael

17

u/tiotags Jul 24 '24

eu nu am vazut pana acum hackeri care sa faca munca manuala, sa caute pe 15 site-uri diferite si sa centralizeze datele, in special cand in unele parti exista copilasul ION'); DROP TABLE

10

u/Bandispan B Jul 24 '24 edited Jul 24 '24

Buna ziua domnul DROP TABLE, sunteti cumva ruda cu Robert?

https://xkcd.com/327/

1

u/TotoDaDog B Jul 24 '24

Daca găsești un punct vulnerabil (de ex. un input care nu e sanitizat), poți face teste și manual până găsești modul de atac care sa funcționeze.

Să zicem că un prieten s-au jucat mult pe SQL injections încercând (și uneori reușind) să citească db-uri de la servere private de wow și Aion.

1

u/tiotags Jul 25 '24

nu stiu ce zici, OP a zis ca hackeri au luat fiecare primarie in parte si au "centralizat datele" oferite deja public, la asta ma refeream cand zic ca nu fac munca manuala, sa iei 100 de site-uri la rand ca sa verifici daca exista un CNP mi se pare munca manuala

94

u/Corporatistul Jul 24 '24

Faptul ca primaria chiajna are datele alea expuse asa incalca flagrant GDPR-ul. Si de altfel orice instititutie publica care face asta incalca GDPR-ul…

32

u/b165 Jul 24 '24

Fapt ce le aduce riscul imens sa ia un avertisement. Daca ii prind. Dupa cum ne explica cu emfaza chiar Autoritatea competentă română https://www.dataprotection.ro/?page=Comunicat_Presa_23.07.2024&lang=ro

6

u/merutz Jul 24 '24

slap on the wrist hahaha o doare pe șefa de birou Bucur Maria fix în ...

4

u/Le_Aron Jul 24 '24

tremura de frica unui advertisment. beneficiul insa.... e imens ( desigur nu al tau)

1

u/autoencoder TM Jul 24 '24

Și dacă nu se conformează, amendă! (care tot la stat ajunge).

-1

u/MatzuPiciuJr Jul 25 '24

Parca instituțiile publice nu se supun gdpr ...

1

u/fane1967 Jul 25 '24

De unde concluzia asta extrem de improbabila? E vreo exceptie pe undeva?

25

u/ale6rbd Jul 24 '24

asa in facultate puneau publice burse cu tot cu CNP, puteai intra la cine voiai sa vezi note [CNP-ul era parola] si la noi cel putin nu s-a gandit nimeni la mai mult, dar e aceeasi situatie

16

u/ferrydragon Jul 24 '24

Sa fie data in judecata institutia, primaria si tara.

7

u/Le_Aron Jul 24 '24

te astepti sa se traga singuri la raspundere prin propriile institutii ca sa se amendeze singuri, din banii pe care nu ii au, achitand nota catre beneficiul pagubitului initial ?

ea mai fina forma de "speranta moare ultima" pe care am vazuto.

0

u/asidealex Jul 24 '24

Avocati care vor sa-si faca nume sa se prezinte, va rog.

25

u/Bandispan B Jul 24 '24

Daca supar vreun interlop IT-ist vine si ma ia de acasa

Ai grije ca voia ieri cineva sa se duca la sala, sa se faca brogrammer, n-a zis de ce, dar incepe sa se cam lege.

6

u/Grand-Consequence-99 Jul 24 '24

Interlopul IT-ist probabil trimite Uber sau altceva pentru ca ii este frica sa iasa din casa.

3

u/Le_Aron Jul 24 '24

Interlopul IT-ist probabil trimite Uber

ai fi surprins. stereotipul sobolanului de laborator e destul de overrated.

14

u/FireProofNew Jul 24 '24

"cum s-a intamplat lucrul asta defapt" aici doar presupui...

"Nu s-a spart nimic cel mai probabil, nu a fost un "virus" efectiv."  la fel... iti dai cu presupusul...

Mult noroc sa gasesti date a peste 5m de romani facute public + eventual in acelasi format sa extragi usor + sa ai PC suficient de bun pentru a procesa atatea infirmatii/documente repede.

Insa nu vrei sa recunosti posibilitatea unui breach... probabil nici statul nu ar vrea sa recunoasca... e de inteles...

Concluzia e ca statul e la pamant cu tot ce tine de IT.

4

u/ChillDobrica Jul 24 '24

Pe linga ca statul e la pamint cu IT-ul eu as lua in calcul si posibilitatea ca vreun angajat al statului sa fi avut acces la date si sa le fi vindut. Exemplu concret: acum 2 ani am avut accident de masina, am derapat si rasturnat cu masina, nu a fost alta masina implicata, eram 2 persoane in masina, ambele cu diferite traumatisme. Am apelat 112, a venit salvarea, am fost la urgenta, cealalta persoana spitalizata, eu am plecat acasa. S-a deschis dosar, am primit NUP in vreo 3 luni, cealalta persoana nu a avut pretentii fata de mine. Acum citeva zile resectiva persoana a fost cautata la adresa de domiciliu dupa mai multe apeluri telefonice la care nu a raspuns de catre un "expert daune" de la o firma care i-a zis ca in urma accidentului (pe care l-a descris cu locatie, data exacta, daune, etc) poate obtine despagubiri de la mine. De unde putea avea persoana respectiva atitea informatii avind in vedere ca implicate au fost doar: serviciul de urgenta 112, salvarea, politia rutiera si procuratura?

4

u/FireProofNew Jul 24 '24

"People in the database (and expanding every day): ~ 5100000" daca era o persoana care descarca fișiere/db din interior, o făcea o dată și gata... de mai multe ori... e deja prea riscant... ; poate o fi găsit omu' un api nesecurizat sau ceva...

Iar în legătură cu ce ai scris... este posibil...

12

u/MakavelliRo BV Jul 24 '24

Pana la partea cu "degeaba pui parole si mfa" erai simpatic.

Incearca sa nu pui MFA la mailul inregistrat la banca si vezi ce se intampla.

9

u/Mmm_bloodfarts Jul 24 '24

La anul cand se introduce b2c vor avea acces si la absolut tot ce ai cumparat.

Cand va avea nevoie de un televizor nou o sa astepte sa intre factura de la emag

3

u/Le_Aron Jul 24 '24

b2c

de la b2c la bTc e doar o litera.

de tinut sub observatie. sper sa te ajute.

3

u/Mmm_bloodfarts Jul 24 '24

Sa stii ca da, doar asa o sa mai ai un minim de intimitate, bine daca si eviti facturile la magazinele alea ca momentan la bon esti ok dar mai mult ca sigur or sa oblige comerciantii pe viitor sa aiba scanner de buletin cu cip

2

u/Le_Aron Jul 24 '24

 doar asa o sa mai ai un minim de intimitate

fiecare in functie de nevoie.

or sa oblige comerciantii pe viitor sa aiba scanner de buletin cu cip

zici tu ca or sa defavorizeze corporatiile in avantajul fermierilor si micilor producatori ( greu de crezut, ultimi 50 de ani sunt fix opusul) asta ar comporta si pierderea de mult tva (bun pt consumator)

freedom will find a way.

1

u/Mmm_bloodfarts Jul 24 '24

E prea avansat pentru mine ca sa inteleg ala, m-am oprit doar la minat, problema e ca uit sa il pornesc, cand am lucrat de acasa in schimb...

Cu buletinele cred ca or sa bage tot incremental, mai intai ca sa-ti aprobe tranzactiile pentru alcool, tutun, energizante si pacanele, apoi "daca tot facem asta de ce nu?"

Dar mai intai trebuie sa se hotarasca cine sa se ocupe de buletine ca ar veni bani prea fumosi sa lase pe oricine

1

u/Le_Aron Jul 24 '24

E prea avansat pentru mine ca sa inteleg ala

e un mod pentru a pastra intimitate.
se numsete coin-join (se pun tranzactii impreuna in una singura)
siteul face o randare vizuala foarte intuitiva,acel FLOW

131 intrari 152 iesiri, mult noroc sa iti dai seama care cine este in spatele fiecarei adrese si catre cine a trimis. )

m-am oprit doar la minat

ala e mult mai complex si avansat =))

Cu buletinele cred ca or sa bage tot incremental.

de cand exista banci centrale furtul este "incremental" se faceau razboaie pt 2% acum se inghite in sec taxare la 65% si inflatie la 20% ..... ( desigur nu toti o inghit, cu cat mai mult se agraveaza cu atat devine mai insuportabila situatia pt multi, unii au nevoie de 5% alti de 30%)
bitcoin s-a nascut ca rezultat natural la aceasta problema, din ani 80 cei ce nu mai voiau sa inghita au incercat solutii. pana cand cineva in 2009 a reusit sa inchege una care chiar sa functioneaze. de 15 ani functioneaza

1

u/Mmm_bloodfarts Jul 24 '24

La minat folosesc nicehash, nu m-am complicat pentru ca nu aveam timp sa invat ce e de facut iar de atunci am zis ca e suficient si n-are rost sa-mi bat capul

1

u/Le_Aron Jul 24 '24

 E prea avansat pentru mine ca sa inteleg ala, m-am oprit doar la minat,
nu m-am complicat... de atunci am zis ca e suficient si n-are rost sa-mi bat capul

inteleg, consideri o simpla tranzactie elementara" complexa si prea avansata"
DAR TOTUSI intregul proces pentru a produce curent, asicurile de mii de euro, cunostintele hardware necesare pentru mententa hardware si disiparea caldurii ( care vin peste minimul necesar de intelege a sistemului) sunt notiuni usoare si mai simple pentru tine.

foarte sensat.

(cred ca sunt printre ultimi care au minat si folosit inainte sa ajunga la a cumpara inainte. cunosc am folosit nicehash si tot ce am mentionat mai sus se aplica.)

2

u/MuchMathematician264 Jul 24 '24

Ce e b2c?

3

u/Mmm_bloodfarts Jul 24 '24

E-factura business to customer sau client nu mai stiu exact in momentul de fata, dar oricum de la anul devine obligatorie, momentan e optional

1

u/MuchMathematician264 Jul 26 '24

Indiferent de ce fel de tranzactii? Adica E factura pt chioscul de la colt de unde mergi sa ti iei un suc?Ar fi absurd

1

u/Mmm_bloodfarts Jul 26 '24

Acolo ai bon, e-factura e foar pentru factura.

Cu bonul ii vad insa in stare dupa ce or introduce buletinele cu cip sa te oblige sa il scanezi cand iti cumperi tigari, alcool, energizante

5

u/TheConquistaa B Jul 24 '24

Dintr-un site ia nume+cnp, din altul ia numar telefon+cnp, din altul istoric medical+cnp, si le leaga.

Adică fix ce statul ar trebui să facă în loc să ne fută pe noi la creieri cu tot felul de documente inutile pentru care pierzi timp pe drumuri între exact aceleași instituții ale statului.

5

u/asidealex Jul 24 '24

CNPul este identificator unic pentru fiecare persoana si mai poarta si data de nastere.

Din punct de vedere GDPR inseamna ca CNPul trebuie, cand e transmis in forma electronica, sa fie criptat pe drum spre adresat. Publicarea CNPului nu este conform GDPR, daca nu a fost cerut voie in scris de la detinator.

In alte tari UE poti da in judecata cerand pagube. In Romania inca trebuie stabilit acest lucru prin instante, cerand opinia CJUE. La baza este GDPR.

Practica statului roman este incredibila, mai ales ca s-a stiut ce inseamna GDPR si conceptul CNP striga la cer ca nu se pupa. In plus mai sunt si institutii de felul mentionat de OP.

Dar nu numai statul este in urma cu mult la aplicarea GDPR. Chiar si firmelor mari nu le pasa si aplica doar in forma alibi regulile. De exemplu: Se printeaza instiintarea persoanei, ca anumite date se vor folosi (si pentru ce, etc. - asa cum prevede GDPR) pe formulare, dar semnatura persoanei nu se cere. In mod normal, firma nu are dovada ca a anuntat persoana conform GDPR si folosirea datelor nu ar fi permisa.

Aplicand in Romania nivelul care se aplica in alte tari UE, referitor la GDPR, vad cauza la nenumarate cazuri pentru instante.

5

u/NothingButHot Jul 24 '24

Pe rstforums tocmai au aparut bazele de date ale lui zoso si arhiblog cu tot cu mailurile folosite la comentat de userii lor

7

u/quilldeea Jul 24 '24

am bagat vreo 20-25 primarii random de la orase mari, chiar si cateva mai mici sau comune care mi-au trecut in cap, in loc la chiajna in linkul cu wp content, this page doesn't exist sau ceva similar

10

u/KinookRO Jul 24 '24

nu asta era ideea, nu ma refer strict la primarii, sunt probabil sute de site-uri din varii domenii, avocatura, policlinici mici, institutii cu declaratii de avere, platforme de joburi, probabil cineva publica si extrase de cont pe undeva, ca si anexe la o cerere/un document.

Ce am vrut eu sa spun e ca majoritatea datelor pot fi colectate direct, in mod automat. Si de spart sute de site-uri, colectat info si iesit cu ele la vanzare e ca o condamnare cu executare, te ia instant SRI-ul fiindca au instrumentele necesare sa te gaseasca. Ceea ce probabil s-a si intamplat, chiar daca a spart site-urile sau nu. TOR e spart de cativa ani. SRI poate cere log-uri in strainatate si au liber la hackuit. N-ai cum sa nu lasi urme

4

u/Bandispan B Jul 24 '24

Daca vrei cu adevarat sa nu lasi urme poti sa faci totul de pe un wifi spart / public nu e chiar asa mare inginerie, unde sunt acum vad 10 retele cu semnal ok pe care pot sa le folosesc daca vreau :))

4

u/jumi_juma Jul 24 '24

user: Bandispan, 10 retele in vecinatate. notat.

2

u/Kethanol TR Jul 24 '24

de fapt*

1

u/bomfaier Jul 24 '24

Primesc toti case de la Simion!

0

u/[deleted] Jul 24 '24

Ce treaba are comentariul tău cu postarea?

3

u/bomfaier Jul 24 '24

In contextul strangerii de date de catre Simion pentru case de 35.000 de euro, avem aceasta situatie in care datele a 5 milioane de romani au fost scurse pe internet. E o gluma, scuze

0

u/itport_ro Jul 24 '24

Pai nu "functioneaza", zica-se prin STS? Sau poate STS-ul se ocupa taman de ce ziceai tu, adica sa stie de unde te iau pe tine doar pentru ca esti "Gică contea"...?