Pericol cibernetic în sistemul ANRE: Datele a aproximativ 1.000 de utilizatori ar putea fi compromise!
Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) a anunțat un incident de securitate cibernetică în platforma sa POSF, care permite consumatorilor de energie electrică și gaze naturale să își schimbe furnizorul prin compararea ofertelor din piață. ANRE a precizat că nu a fost un atac cibernetic, ci o eroare tehnică survenită în urma unor lucrări de mentenanță efectuate de contractantul POSF, care a dus la posibilitatea accesării neautorizate a unor date.
Platforma a fost dezvoltată de compania Metaminds SA, care a semnat un contract cu ANRE în 2021, în valoare de circa 10,8 milioane lei plus TVA. ANRE a explicat că, în urma lucrărilor de mentenanță realizate pe platforma posf.ro, anumite endpoint-uri ale platformei au putut fi accesate fără autentificare între 1 mai 2024 și 6 august 2025, permițând astfel obținerea neautorizată de date cu caracter personal. Vulnerabilitatea a fost remediată pe 6 august 2025, prin blocarea accesului public la aceste endpoint-uri.
Informațiile transmise de contractant indică faptul că datele expuse pot include: nume, prenume, cod numeric personal (CNP), adresă de domiciliu, adresă de corespondență, serie și număr carte de identitate, telefon. Numărul exact al persoanelor vizate nu este confirmat, însă estimările sugerează că ar putea fi aproximativ 1.000 de persoane fizice. ANRE continuă să solicite informații de la contractant pentru a determina impactul exact al incidentului.
ANRE va publica o informare suplimentară odată ce va avea detalii precise despre numărul persoanelor afectate și amploarea incidentului. De asemenea, ANRE a afirmat că nu există indicii de intenții ostile, subliniind că vulnerabilitatea a fost raportată imediat de către persoana care a descoperit-o. Autoritatea consideră că incidentul a fost limitat și nu există dovezi că datele expuse ar fi fost utilizate în scopuri frauduloase.
În urma incidentului, ANRE a implementat trei tipuri de măsuri:
- Măsuri tehnice: Dezactivarea mecanismului de generare automată a API-urilor neautentificate, izolarea endpoint-urilor vulnerabile, aplicarea patch-urilor de securitate și audit complet al codului și infrastructurii.
- Măsuri administrative: Proceduri de analiză și obținere a clarificărilor tehnice de la contractant și inițierea analizei interne pentru a atrage răspunderea contractorului în caz de prejudiciu.
- Măsuri inter-instituționale: ANRE a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și a solicitat sprijin din partea Directoratului Național pentru Securitate Cibernetică.
ANRE a subliniat că amploarea datelor expuse este încă investigată și a cerut scuze utilizatorilor pentru îngrijorările cauzate de acest incident, reafirmând că protejarea datelor cu caracter personal rămâne o prioritate absolută pentru instituție.
