Incident de securitate cibernetică în platforma ANRE
Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) a anunțat un incident de securitate cibernetică în platforma sa POSF, destinată schimbării furnizorilor de energie electrică și gaze naturale. Potrivit ANRE, incidentul nu a fost un atac cibernetic, ci rezultatul unei erori tehnice apărute în urma unor lucrări de mentenanță efectuate de contractantul tehnic al platformei. Această eroare a permis accesarea neautorizată a unor date personale.
Platforma POSF a fost dezvoltată de compania Metaminds SA, în baza unui contract semnat cu ANRE în 2021, în valoare de aproximativ 10,8 milioane lei plus TVA. ANRE a informat că, în urma lucrărilor de mentenanță, anumite endpoint-uri ale platformei ar fi putut fi accesate fără autentificare, ceea ce ar fi permis obținerea neautorizată de date personale. Vulnerabilitatea a fost remediată pe 6 august 2025, prin blocarea accesului public la aceste endpoint-uri.
Informațiile transmise de contractant indică faptul că datele posibil expuse includ numele, prenumele, codul numeric personal (CNP), adresa de domiciliu, adresa de corespondență, seria și numărul cărții de identitate, precum și numărul de telefon. Estimările sugerează că aproximativ 1.000 de persoane fizice ar fi fost afectate, deși numărul exact nu a fost confirmat.
ANRE va publica o informare suplimentară odată ce va fi stabilit numărul persoanelor vizate și amploarea incidentului. Autoritatea a subliniat că nu există dovezi că datele expuse ar fi fost folosite în scopuri frauduloase și că incidentul a fost adus la cunoștință imediat de către persoana care l-a descoperit. Vulnerabilitatea a fost remediată rapid, în termen de o oră de la descoperire.
Incident de securitate cibernetică în platforma ANRE
Recent, a fost raportat un incident de securitate cibernetică în platforma ANRE dedicată schimbării furnizorului de energie și gaze, în care se estimează că datele personale a aproximativ 1.000 de utilizatori ar fi putut fi expuse.
Măsuri luate de ANRE
În urma acestui incident, ANRE a implementat trei tipuri de măsuri pentru a contracara problema:
- Măsuri tehnice:
- Dezactivarea mecanismului de generare automată a API-urilor neautentificate.
- Izolarea și restricționarea tuturor endpoint-urilor vulnerabile până la remedierea completă a acestora.
- Aplicarea patch-urilor de securitate și corectarea setărilor în termen de o oră de la notificare.
- Audit complet al codului și infrastructurii.
- Implementarea de teste automate de penetrare.
- Instruirea echipei tehnice în bune practici de securitate.
- Planificarea de audituri periodice interne și externe.
- Măsuri administrative: ANRE a inițiat proceduri de analiză și obținere a clarificărilor tehnice de la contractant, precum și demersuri pentru a atrage răspunderea acestuia în cazul în care va exista un prejudiciu.
- Măsuri inter-instituționale: ANRE a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și a solicitat sprijin din partea Directoratului Național pentru Securitate Cibernetică și Institutului de Cercetare-Dezvoltare în Informatică ICI București.
Investigație și comunicare
Amploarea datelor expuse este încă în curs de investigare, iar ANRE va evita comentariile suplimentare până la finalizarea acestei investigații. Autoritatea a subliniat că informațiile circulante în spațiul public sunt alarmiste și neconfirmate. ANRE își cere scuze utilizatorilor pentru eventualele îngrijorări cauzate de acest incident, reafirmând că protejarea datelor personale rămâne o prioritate absolută.
