Breșă de securitate pe imobiliare.ro, peste 200.000 de date personale au fost expuse

Cel mai popular website de imobiliare din România a suferit o breșă de scuritate privind datele personale (adrese, CNP, numere de telefon, acte funciare) care ar putea afecta întreaga sa bază de date de clienți. Este incert dacă informațiile au ajuns în mâinile unor rău-voitori, însă datele stocate de companie au fost expuse, fără protecție prin parolă sau criptare.


Ca parte a efectuării scanărilor de rutină ale serverelor pentru a detecta potențialele vulnerabilități, echipa Website Planet a descoperit că imobiliare.ro și-a lăsat nesecurizată o bază de date. Configurarea greșită a însemnat că oricine încerca să acceseze datele stocate de companie ar fi putut face acest lucru fără a întâmpina măsuri de securitate de bază, cum ar fi protecția prin parolă. Datele expuse au fost stocate în 35.738 fișiere .PDF și 165.316 .JPG și au inclus informații de identificare personală dar și alte informații confidențiale, cum ar fi:

  • Nume complete
  • Numere de telefon
  • Adresă domiciliu
  • E-mailuri
  • CNP (Cod Numeric Personal)
  • Semnături personale
  • Contracte imobiliare între clienți și agenție
  • Documente de proprietate, inclusiv planuri arhitecturale, specificații detaliate și locații ale proprietății
  • Extracte funciare și documente ANCPI (Agenția Națională pentru Cadastru și Publicitate)
  • Imagini de profil utilizator
  • Copii scanate ale cărților de identitate naționale
  • Prețul solicitat al proprietății

Au fost expuse peste 200.000 de înregistrări, dar numărul exact al persoanelor afectate de breșă rămâne necunoscut. Din cauza lipsei implementării măsurilor de bază privind siguranța informatică, compania a lăsat la liber informațiile despre utilizatorii și tranzacțiile sale. Oricine ar fi avut adresa URL corectă ar fi putut accesa datele!

Foto: Mati Mango

Echipa care a descoperit breșa a contactat prima dată Imobiliare.ro pe 1 decembrie 2020 dar nu am mai auzit niciodată de la companie. O lună mai târziu, după câteva încercări suplimentare, au ajuns la Ringier (proprietarul media) pe 10 ianuarie 2021. Reprezentanții companiei media au răspuns solicitărilor de contactare și au închis breșa o zi după aceea.

Mai bine de o lună de zile, deși fuseseră informați despre breșa de securitate, administratorii portalului nu au procedat la a încerca să rezolve problema. Remedierea a venit abia în luna ianuarie 2021, timp în care datele personale expuse puteau oricând ajunge în posesia unor rău-voitori.

Lansat în anul 2000, Imobiliare este cel mai mare portal imobiliar din România, oferind serviciile sale atât agențiilor imobiliare, cât și persoanelor fizice din România. Compania este o filială a grupului media Ringier. Potrivit companiei, peste 1.000 de agenții imobiliare beneficiază de serviciile sale și susțin că înregistrează peste 1 milion de vizitatori unici pe lună. Compania este activă și în promovarea serviciilor sale prin parteneriate cu publicații și portaluri de prestigiu din România.