O vulnerabilitate a fost descoperită la platforma națională pentru schimbarea furnizorilor de energie electrică și gaze naturale. Această platformă, gestionată de Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE), a afectat datele personale ale aproximativ o mie de utilizatori.
ANRE a confirmat un incident pe platforma de comparare a ofertelor, după apariția unor zvonuri pe internet despre o posibilă violație a datelor personale a unui număr mare de români.
Conform informațiilor preliminare, incidentul a expus informațiile a 1.000 de persoane.
Potrivit ANRE:
- Incidentul nu a fost un atac cibernetic premeditat. O eroare tehnică, apărută în timpul unor lucrări de întreținere efectuate de către o firmă externă, a permis accesul neautorizat la date.
- Lucrările de întreținere nu au fost derulate de ANRE, ci de o firmă contractantă.
- Nu există indicii că incidentul ar fi fost intenționat malițios. Vulnerabilitatea a fost semnalată imediat, astfel încât impactul a fost limitat.
- Nu există dovezi că datele ar fi fost folosite în scopuri frauduloase.
- Vulnerabilitatea a fost remediată imediat după descoperire.
id=”chapter-0″>Tipuri de date expuse
În urma unor lucrări de mentenanță pe platforma posf.ro, anumite secțiuni ale acestei platforme au fost accesibile fără autentificare între mai 2024 și 6 august 2025. Acest lucru ar fi putut permite extragerea neautorizată a datelor personale. Vulnerabilitatea a fost remediată la data de 6 august 2025.
Datele posibil afectate includ: nume, prenume, CNP, adrese (domiciliu, corespondență), serie/număr de carte de identitate și număr de telefon.
Numărul exact al persoanelor afectate este încă în curs de evaluare. ANRE continuă să solicite informații pentru o estimare precisă.
id=”chapter-1″>Măsuri luate de ANRE
ANRE a implementat următoarele măsuri:
- dezactivarea mecanismului automat de generare a API-urilor neautentificate;
- izolarea și restricționarea accesului la endpoint-urile vulnerabile;
- aplicarea de patch-uri de securitate și corectarea setărilor – imediat după detectare;
- audit complet al codului și infrastructurii;
- implementare de teste automate de securitate;
- formare a personalului tehnic;
- planificarea auditurilor periodice.
ANRE a inițiat demersuri administrative pentru analiza incidentului, clarificări tehnice în colaborare cu firma de mentenanță, și eventuale cereri privind răspunderea contractantului.
ANRE a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSSPDCP) și alte instituții relevante.
ANRE subliniază că informațiile circulante despre situație sunt alarmiste, neconfirmate și solicită scuze pentru îngrijorarea cauzată. Protejarea datelor personale rămâne o prioritate.