Datele financiare și personale pentru mii de clienți ai OTP Leasing puteau fi accesate de actori nedoriți prin intermediul aplicației online, scrie pe blogul personal Cristian Iosub, cercetător în domeniul securității cibernetice.
Potrivit postării de pe blogul lui Cristi Iosub, în jurul datei de 11 mai, persoane neautorizate au avut acces la datele clienților OTP Leasing ce erau disponibile în platforma MyLeasing. Iosub scrie că în data de 3 mai a creat un cont pe platformă, unde ar fi trebuit să vadă date cu privire la un contract pe care îl administrează.
Ulterior, acesta a constatat că are drepturi de administrator și că poate avea „acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte, incluzând nume, prenume, nume societate, număr de telefon, adresa e-mail, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online”.
El spune că putea șterge conturile de administrator fără să fie logat nicăieri și putea edita toate conturile din platformă, de la oameni cu un singur autoturism până la flotele auto ale companiilor și echipamente industriale.
Conform lui Iosub, un potențial atacator ar fi putut avea acces la toate contractele, le putea descărca și putea demara o campanie de phishing. De asemenea, ar fi putut vinde datele către alte firme de leasing dornice să refinanțeze creditele în favoarea lor.
Acesta scrie că nu are informații privind vechimea vulnerabilităților și câte persoane au accesat anterior bazele de date ale OTP Leasing.
Iosub mai spune că OTP Leasing a ignorat mai multe e-mail-uri trimise pe această temă și a fost contactat de o angajată care nu înțelegea gravitatea situației.
„Acum, fiecare companie își administrează resursele după propriile posibilități, dar să desemnezi departamentul de marketing ca fiind responsabil de comunicarea cu cineva care îți raportează un data breach masiv, cred că este o eroare pentru că ar trebui să existe și o înțelegere a implicațiilor, nu doar un forward la un e-mail. Dar repet, este treaba fiecăruia de a-și administra propriile resurse și mai ales priorități după cum consideră că este benefic pentru organizația sa”, conchide acesta. Iosub a semnalat, acum o lună, problema și către entitatea publică responsabilă cu astfel de cazuri: Directoratul Național de Securitate Cibernetică (DNSC).
