Anre asigură că incidentul de securitate a datelor a fost rapid gestionat
anre asigură că incidentul de securitate a datelor a fost rapid gestionat
Autoritatea Națională de Reglementare în domeniul Energiei (ANRE) a clarificat informațiile despre o breșă de securitate apărută pe platforma de comparare a ofertelor pentru furnizorii de energie, POSF. Potrivit unor informații transmise de autoritate, pe rețelele sociale s-a răspândit o veste conform căreia datele personale ale 13 milioane de români ar fi fost furate într-un atac cibernetic fără precedent. Cu toate acestea, ANRE subliniază că nu a fost vorba de un atac cibernetic, ci de o eroare tehnică apărută în timpul unor lucrări de mentenanță.
Conform sursei citate, incidentul a expus datele a circa 1.000 de persoane fizice, inclusiv nume, prenume, cod numeric personal (CNP), adrese, serie și număr de buletin, precum și numere de telefon. Potrivit mediafax, unele endpoint-uri ale platformei POSF ar fi fost accesibile fără autentificare între aprilie 2024 și august 2025, ceea ce ar fi permis obținerea neautorizată a unor date cu caracter personal. În urma descoperirii, vulnerabilitatea a fost remediată la data de 6 august 2025, când accesul public la aceste endpoint-uri a fost blocat.
ANRE citează că lucrările de mentenanță au fost realizate de către contractantul tehnic al platformei, nu de către autoritate. "Nu a fost un atac cibernetic. În urma unor lucrări de mentenanță derulate de către contractantul POSF, o eroare tehnică a dus la posibilitatea accesării neautorizate a unor date", menționează ANRE. Potrivit acesteia, nu există indicii că incidentul ar fi avut intenții malițioase sau că datele expuse au fost folosite în scop fraudulos.
Autoritatea notează că vulnerabilitatea a fost corectată în doar o oră de la descoperire, prin dezactivarea mecanismului de generare automată a API-urilor neautentificate și restricționarea endpoint-urilor vulnerabile. S-au aplicat apoi patch-uri de securitate, s-a efectuat un audit complet al infrastructurii și codului, și au fost implementate teste automate de penetrare. De asemenea, echipa tehnică a fost instruită în bune practici de securitate, fiind planificate și audituri periodice interne și externe. ANRE a mai precizat că a colabora cu Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și cu Institutul de Cercetare-Dezvoltare în Informatică (ICI București), solicitând sprijin pentru asigurarea securității.
Potrivit www.alba24.ro, măsurile administrative au inclus analizarea și clarificarea situației cu contractantul, precum și demersuri pentru atragerea responsabilității în cazul unor prejudicii. În concluzie, autoritatea susține că incidentul a fost limitat, și că nu există dovezi că datele ar fi fost folosite în mod fraudulos.
