Gafă de proporții cu implicații penale pentru conducerea Primăriei Timișoara, pentru departamentul IT al instituției publice și pentru firmele care asigură mentenanța sistemelor infomatice ale municipalității timișorene. Hackerii de la Ransomhub, care pe 23 august au exfiltrat peste 120 de gigabytes de informații din bazele de date Primăriei Timișoara, ale Direcției Fiscale și ale Poliției Locale, au publicat date personale ale timișorenilor, persoane fizice, agenți economic dar și ale angajaților din instituția condusă de către Dominic Fritz.
Anunțul că hackerii au publicat datele personale ale angajaților primăriei dar și ale firmelor și persoanelor fizice pe care le are Primăria Timișoara în evidență, a fost făcut vineri, 13 septembrie 2024, în jurul orei 12, de către expertul în securitate cibernetică Bogdan Albei, pe rețeaua LinkedIn.
„Ransomhub au publicat datele timișorenilor. De acum sunt bunuri publice, la dispoziția oricui (nu mă întrebați de link că nu dau). Iată nepo-tința statului în toată splendoarea ei. Care vor fi consecintele? Greu de spus. Adică, ce ai putea să faci cu o duzină de buletine, contracte, diplome, alte documente oficiale (enorm de multe) sau cu semnătura digitală a domnului Fritz?
Este de apreciat stăruința statului de a nu monetiza cererile hackerilor. Nu poți ca instituție să încurajezi fenomenul criminal. Dar, din păcate, într-un final, cineva tot va plăti pentru această ‘scăpare’. Oare cine?”, a scris Albei, pe rețeaua profesională. El a publicat și 2 printscreen-uri din datele extrase de către gruparea de hackeri. Tot Albei a mai scris că „Primaria Timisoara cunoaste foarte bine situatia”.
Vizavi de situația gravă, un alt specialist IT, Iulian M. a descris succint ce surprize neplăcute îi pot aștepta pe timișorenii expuși: „Dragi IFN-uri care va stiti ca incheiati contracte false, proceed”.
Adrian B. și el expert în informatică, a comentat, la rândul său, starea de fapt din Primăria Timișoara: „Oh, ce greu a fost sa gasim linkul :)) doar cand ma gandesc la cate lucruri si bani se pot face cu aceste date…cred ca institutiile nu inteleg deloc valoarea datelor personale”.
Între timp, Primăria Timișoara nu a anunțat nimic oficial despre acest lucru, iar pe Facebook, primarul Dominic Fritz are cea mai recentă postare despre lucrările de toamnă la parcuri și spații verzi. Ca o ironie, postarea primarului a fost făcută tot vineri, 13 septembrie 2024, la ora 12:01.
Ca și când nimic grav nu s-ar fi întâmplat, deși primăria și firmele de IT care au contract cu instituția sunt direct responsabile pentru breșa masivă de securitate, un incident informatic grav, pentru care Primăria Timișoara a apelat la Directoratul Național de Securitate Cibernetică, iar DIICOT a deschis o lucrare pe acest caz.
Vă reamintim că Bogdan Albei, expert în securitate cibernetică și proprietar al companiei de profil Stop Ransomware, a publicat pe rețeaua profesională LinkedIn, marți, 3 septembrie 2024, informația conform căreia peste 120 de Gb de informații despre cetățeni dar și despre angajații Primăriei Timișoara au fost extrase de către hackerii care au atacat cibernetic instituția, în seara de 23 august.
Tot Bogdan Albei a demonstrat luni, 2 septembrie 2024, că pe platforma Telegram au apărut la vănzare date personale ale unor cetățeni din Timișoara, ca un prim semn al hackerilor că sunt în posesia datelor din Primăria Timișoara.
Stop Ransomware (Home | Stop Ransomware (stop-ransomware.ro)), care aparține specialistului IT Bogdan Albei, este o companie ce pune la dispoziție prima platformă din România care oferă consultanță gratuită companiilor care sunt sau au fost victime ale atacurilor cibernetice.
Albei susține că “’Decât’ 120 de giga de date s-au exfiltrat de la Primăria Timișoara. În zece zile vor fi publicate dacă nu se plătește ransom-ul. Cei de la Ransomhub au revendicat atacul” și că informațiile extrase de hackeri conțin date atât ale cetățenilor timișoreni plătitori de taxe cât și ale angajaților primăriei. Atât el cât și un alt expert IT mai atrag atenția că cetățenii cu datele de “identitate compromise se pot aștepta în mod „rezonabil” la împrumuturi fictive”, făcute în numele lor.
Un alt specialist IT, Iulian M. semnala, în aceeași postare pe LinkedIn că Primăria Timișoara se află într-o situație extrem de delicată – în cazul în care ar plăti răscumpărarea către gruparea de criminalitate informatică ar cădea sub incidența articolului 367 din Noul Cod Penal, care prevede că plata ransom-ului este încadrată drept sprijinirea (financiară) unui grup infracțional organizat, cu consecințele de rigoare (Art. 367 Noul Cod Penal Constituirea unui grup infracţional organizat Infracţiuni contra ordinii şi liniştii publice | Noul Cod Penal actualizat 2024 – Legea 286/2009 (legeaz.net)) dar și sub incidența articolelor 360 – 366 din Noul Cod Penal care se referă la infracțiuni informatice contra siguranței și integrității datelor și sistemelor informatice.
De altfel, din partea Primăriei Timișoara, în prima informare, din 26 august, au parvenit oficial informații privind atacul din weekendul anterior.
Primăria Municipiului Timișoara, Direcția Fiscală a Municipiului (DFMT) și Poliția Locală Timișoara au fost ținta unui atac cibernetic de tip ransomware asupra serverelor pe care rulează mai multe sisteme informatice.
“Incidentul a avut loc în noaptea de vineri spre sâmbătă și a fost detectat de sistemul digital de securitate. Specialiștii primăriei au declanșat o serie de contra-măsuri radicale, cu ajutorul firmelor de specialitate contractate de municipalitate, astfel că a fost oprită compromiterea întregului sistem. Nu există indicii că atacatorii au extras date cu caracter personal din sistemele afectate”, au transmis atunci reprezentanții primăriei.
Primăria Timișoara a raportat incidentul imediat autorităților. Atacul se află sub investigația experților în securitate cibernetică din cadrul Directoratului Național de Securitate Cibernetică.
Ulterior, pe 27 august, reprezentanții Primăriei Timișoara informau că serviciile pentru public ale Primăriei Timișoara sunt funcționale, după atacul cibernetic de tip ransomware asupra serverelor. Astfel, la Camera 12 a Primăriei, se pot face din nou plăți cu cardul. Totodată, Direcția Fiscală a Municipiului a reluat încasarea taxelor și impozitelor locale online sau cu cardul la ghișeu.
La Poliția Locală, în continuare, sesizările online erau suspendate temporar, fiind preluate telefonic, la dispecerat. Ulterior nu s-a mai revenit cu noi informații.
Pentru reluarea serviciilor interne ale Primăriei Timișoara, măsurile sunt încă în derulare, în colaborare cu Directoratul Național de Securitate Cibernetică. Resetarea sistemului intern de către specialiștii municipalității și experții în securitate cibernetică din cadrul DNSC are loc treptat. DNSC continuă și investigația privind atacul cibernetic.
Tot atunci, cei din administrația timișoreană spuneau că investigația este în derulare, astfel că mai multe detalii vor fi comunicate la finalizarea acesteia.
Marți, 3 septembrie 2024, în timp ce oficialitățile timișorene nu au mai amintit nimic despre atacul cibernetic despre care au susținut că nu s-a lăsat cu pagube, adică cu furtul unor date cu caracter personal, expertul în securitate cibernetică Bogdan Albei, compania Stop Ransomware dar și alți specialiști susțin că 120 de Gigabytes ( o “cantitate” extrem de mare) de informații despre cetățeni și despre angajații Primăriei Timișoara au fost extrase de către hackeri și că grupul de hackeri Ransomhub a revendicat atacul de la Primăria Timișoara și că în zece zile vor fi publicate datele, dacă nu se plătește ransom-ul (răscumpărarea), însă Albei nu a făcut referire la vreo sumă cerută de grupul respectiv.
Hackerii s-au ținut de cuvânt, iar pe data de 13 septembrie au publicat datele, care inițial au fost scoase la vânzare, conform unor „reclame” postate pe rețeaua de socializare Telegram cu zece zile înainte.
Până la publicarea acestui material nu am reușit să luăm un punct de vedere din partea Primăriei Timișoara și nici din partea Directoratului Național de Securitate Cibernetică.
Ce spunea primarul Fritz cu o zi înainte de publicarea datelor de către hackeri?
Pe 12 septembrie, la Radio Timișoara, primarul Timișoarei declara că o parte infimă a datelor a fost accesată și nu sunt compromise date personale. Asta ca o zi mai târziu hackerii să publice datele extrase din serverele instituției. Accesul hackerilor care au lansat atacul de tip ransomware asupra infrastructurii IT a Primăriei Timișoara s-a efectuat printr-un scanner și un calculator neprotejate, pe care erau stocate imaginile produse pe scaner, spune primarul Dominic Fritz, la Radio Timișoara. Mai mult, doar 0,3% din datele primăriei ar fi fost accesate, mai susține acesta.
Un scanner și un calculator neprotejat sunt vinovații pentru atacul de tip ransommware, iar cantitatea de date accesate este infimă, a mai asigurat primarul.
„Ce pot să vă spun că sub 0,3% din datele primăriei au fost accesate. Marea majoritate a acestor date sunt, de fapt, date publice. De pe un scaner, au scanat anumite documente și au fost salvate iarăși pe un calculator neprotejat”, a declarat Fritz la Radio Timișoara.
Fritz a mai susținu că datele importante ale celor care și le-au salvat pe portalul unic nu ar fi fost accesibile hackerilor, acestea fiind stocate în cloud, a mai spus primarul.