Dezvaluiri socante : hackerii culeg datele personale ale romanilor chiar de pe serverele companiilor care le culeg datele la semnarea contractelor

Numarl romanilor care sunt victime ale FURTULUI DE IDENTITATE cunoaste o crestere alarmanta, mai ales ca acesti romani, in marea lor majoritate, care se trezesc ca au semnat contracte de credit bancar, fara sa fi mers in viata lor la o banca. Liantul intre cazurile despre care vreau sa vorbesc in acest material care va deschide o serie destinata furtului de identitate, este dat de faptul ca, victimele nu au avut in viata lor adresa de e-mail, nu stiu sa foloseasca internetul, astfel incat este EXCLUS ca datele lor personale sa fi fost culese in cadrul unor atacuri de tip phishing.
Pentru ca, si imi asum raspunderea pentru ceea ce spun aici, din punctul meu de vedere, atacurile de tip phishing este PRAF IN OCHII CONSUMATORILOR ROMANI, intrucat, nu asa se culeg datele personale ale acestora, si ele au doar rolul de a masca, ingenios este adevarat, adevaratele surse din care se extrag aceste date personale [ si ma refer aici la copii ale cartilor de identitate, documente de proprietate, CNP-uri, semnaturi scanate, adica tot arsenalul cu documente cu care se poate accesa un credit bancar ] sunt chiar serverele companiilor din Romania, care au zeci, sute sau milioane de clienti in Romania, si care isi lasa serverele intr-o vraiste totala, care face posibil ca, pusti de 17-19 ani de le sparga extrem de usor, sa patrunda in interiorul lor si sa extraga aceste documente si date personale. Cum se creeza aceste brese in servere :
[1] in primul rand datorita erorilor cuprinse in diferitele softuri de operare a acestor servere; eu nu ma pricep la un computer mai mult decat sa il utilizez , sa dau e-mailuri, insa am inteles faptul ca exista programe care atunci cand sunt instalate si lucreaza si interactioneaza pe un server, nasc niste brese care se pot exploata de catre persoane pasionate de informatica; numele acestor programe le voi oferi in masura in care cei care administreaza aceste servere vor fi interesati, sa protejeze in mod real datele personale ale romanilor pentru care au o mare responsabilitate;
[2] lipsa de personal calificat, si faptul ca in general , fara sa se supere nimeni insa acesta este adevarul, administratorii de servere pe care se stocheaza documente, sunt in general depasiti de situatie, desi sunt platiti cu bani foarte multi, unii de mii de euro pe luna; de asemenea aici are un rol important si fluctuatia de personal din domeniul IT romanesc;
[3] operarea unor servere cu programe software culese in variante free de pe internet; adica corporatia care face milioane de euro profit in Romania, prefera sa nu investeasca mare lucru in siguranta serverului, astfel incat din zgarcenie folosesc aceste programe care au o serie de imperfectiuni, lasate voit de cei care le realizeaza, tocmai ca sa fii interesat sa cumperi varianta completa, care este mereu contra-cost
[4] faptul ca, ANSPDC [ Autoritatea de Protectie a Datelor Personale ] nu verifica cand autorizeaza companiile in baza legii 677/2001 daca serverele pe care se stocheaza datele si documentele clientilor, indeplinesc conditiile minime de securitate , eliberand autorizatia de prelucare a datelor personale doar in baza unor verificari formale; astfel se ajunge ca  serverele pe care se stocheaza documentele si datele personale ale consumatorilor romani, sa scape verificarilor care ar trebui operate inainte de a se admite stocarea in spatiu virtual a unor asemenea date, documente si informatii;
[5] faptul ca ANRCTI la randul ei nu deruleaza o verificare a serverelor pe care sunt stocate contracte, documente ale clientilor unor banci, operatori de telefonie mobila, furnizori de servicii de telefonie, firme de asigurari, de leasing, etc.
Daca mai sunt si alte motive va rog pe voi cititorii sa mi le trimiteti sa completam lista, insa vreau sa atrag atentia ANRCTI, DIICOT si tuturor autoritatile asupra realitatii acestei situatii, care este dramatica;
Stau si ma intreb cum este posibil ca Politia , DIICOT-ul sa nu ruleze un program care sa atraga si incurajeze tineri precum Badluck81 sa se angajeze in sistem, tocmai ca sa lupte impotriva celor pusi pe fraude, sa semnaleze companiilor bresele din sistemele de securitate ale serverelor, si prefera sa-i ignore si sa trimita mascatii si pe Sabagh sa-i aresteze , sa-i bage la puscarie, in loc sa ia exemplu FBI care face selectii anuale si care le da sansa sa isi valorifice talentul in sprijinul comunitatii civile si a legii ! sau companii precum bancile sau operatorii de telefonie mobila cum de nu se lupta sa atraga asemenea specialisti, mai ales ca si-ar permita sa le plateasca salarii in schimbul carora sa isi asigure serviciile lor, si sa vegheze si descopere continuu cat de eficienta este securitatea unor servere pe care ruleaza zeci de milioane de date si documente !
Un hacker roman, pe care nu l-am cunoscut personal niciodata, si care se numeste Badluck81, mi-a trimis niste mesaje, in care imi demonstra faptul a obtinut copia cartii mele de identitate, si alte acte legate de mine, plus faptul ca mi-a indicat o bresa in serverul utilizat de Urban si Asociatii pe care, datorita lui am putut sa o rectificam. Am fost initial socat si am suspectat in mod normal, mai ales ca stiu ca va citi si el acest material, faptul ca sunt victima unui santaj pentru bani; Nu a fost asa, pentru ca desi mi-a spus ca are 19 ani , este pasionat de informatica, si nu are bani  [ ba chiar mi-a povestit faptul ca un amic i-a furat niste bani de pe card...] nu a vrut bani de la mine. Cand l-am intrebat ce motivatie are, mi-a spus ca un simplu "multumesc" este de ajuns si atunci am inteles ce NEDREPTATE li se face in romania unor tineri pasionati, pe care legislatia absurda si autoritatile nu face altceva decat sa-i ignore, sa isi bata joc de ei, sa-i izoleze social [ nimeni nu il angajeaza pe Badluck81 desi este un geniu in informatica, cel putin asa cum vad eu ca profan al acestui domeniu lucrurile , pentru ca marile companii cer munti de diplome , de masterate si alte asemenea prostii de hartii care sunt obtinute in mare masura dupa principiul trecerii pestelui prin apa ] , si sa-i impinga sa isi caute sursa de venit din zona infractionala a societatii adica prin incalcarea legii , culegerea de date si documente de pe serverele companiilor [ si cand o sa incep sa le dau numele in episoade viitoare, o sa ramaneti la fel ca mine, incremeniti, cand veti vedea ca au cifre de afaceri de sute de milioane de euro, insa isi lasa serverele la indemana tinerilor de 19 ani ! ] . Acestor tineri pasionati de internet, nu le da nimeni nici o sansa in Romania, iar Politia si companiile de IT in loc sa se lupte sa isi asigure serviciile lor, totusi se prefera haituirea lor, siatunci raspunsul este exact refugiul intr-o lume din care produc asemenea atacuri.
Am discutat si analizat impreuna cu alti colegi avocati, varianta in care, odata constatata o bresa in serverul unei companii, si un avocat primeste o asemenea informatie de la o persoana pe care nu o cunoaste, care vrea sa o semnaleze celor care administreaza serverul in cauza, dar care se teme sa o faca pentru a nu fi considerat si deferit politiei ca infractor [ el dorind sa semnaleze bresa pentru a fi reparata de catre cei care administreaza serverul, pentru a impiedica scurgerea de date si informatii ] . Intrucat legislatia din Romania sanctioneaza simpla patrundere pe un sever, fiind extrem de prost facuta.
Legea 161/2003 prevede la art. 42 :
Art. 42. - (1) Accesul, f?r? drept, la un sistem informatic constituie infrac?iune ?i se pedepse?te cu închisoare de la 3 luni la 3 ani sau cu amend?.

   (2) Fapta prev?zut? la alin. (1), s?vâr?it? în scopul ob?inerii de date informatice, se pedepse?te cu închisoare de la 6 luni la 5 ani.
   (3) Dac? fapta prev?zut? la alin. (1) sau (2) este s?vâr?it? prin înc?lcarea m?surilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani ".
Toata legea o puteti citi atasata la acest material.
Ca atare, doar simplu fapt al patrunderii neautorizate pe un server constituie infractiune si daca se incalca si sistemele de securitate , persoana care patrunde neautorizat risca pana la 12 ani de inchisoare.
Buun, este foarte bine am spus noi , cei care am cercetat legislatia insa, ce ne facem in cazul in care SERVERELE PE CARE NIMENI NU ARE VOIE SA INTRE, AU TOTUSI BRESE DE SECURITATE, DE CARE ADMINISTRATORII ACESTORA NU STIU, SI PE UNDE INFRACTORII POT SA INTRE SI SA EXTRAGA DATELE PERSONALE SI DOCUMENTELE ROMANILOR.
Va dati seama ca un server al unei banci care stocheaza acte de proprietate si in general documente care se cer la incheierea unui contract de credit, ofera posibilitatea unor infractori sa dea adevarate tunuri, sa vanda si cumpere proprietati si sa comite fraude uriase in dauna romanilor.
Cum protejam ca atare consumatorul roman, daca cunoastem aceste date ? Pentru ca interesul de a nu intra pe un server, paleste in fata faptului ca exista interesul general de protejare a datelor si documentelor personale ale consumatorilor romani, dincolo de faptul ca multe din erorile acestor servere, sunt cauzate de culpa sau neglijenta, uneori crasa a administratorilor lor, romani care au dreptul sa stie ca datele lor personale sunt lasate de multe ori in voia sortii si la indemana infractorilor cibernetici, tocmai de firmele care le culeg si pretind aceste acte si date la semnarea contractelor !.
Am luat legatura si cu posturi de televiziune, care s-au declarat dispuse sa protejeze indentitatea unui tanar precum Badluck81 care prefera sa isi foloseasca cunostintele ca sa semnaleze acete erori, riscandu-si libertatea, fara sa profite de pe urma lor, fiind cu totii de acord ca acesta ar trebui premiat si angajat la cele mai mari firme din Romania sau strainatate, si laudat public pentru initiativele sale. Au dorit de asemenea sa-i ia interviu, insa pana nu am finalizat analiza cu avocatii care au ales sa il reprezinte si sprijine , nu am dorit sa il expunem.

Ca atare, acum s-a putut forma o parere, si aceste date si informatii care demonstreaza usurinta cu care se acceseaza serverele marilor companii din Romania, se vor transmite catre companiile in cauza, si catre DIICOT , urmand sa fie prezentate public, doar numele firmelor la care s-au descoperit asemenea brese. Credem cu tarie faptul ca Badluck81 face un serviciu pentru toti romanii, si vom lupta sa-i protejam identitatea, si speram ca cineva sa isi dea seama ca el merita sa fie platit si angajat ca specialist, si nu izolat si indemnat sa mearga catre zona infractionale a societatii.



Iata cazurile care demonstreaza faptul ca, aceste fraude bancare nu se pot produce decat prin bresele de securitate din serverele companiilor foarte mari care ruleaza date personale, documente si hartii in Romania. Puteti sa imi spuneti mie, ca o pensioara din Turnu Severin, un sofer de camion din Constanta care nu au nici acces la internet, au ajuns victime ale furtului de identitate, prin atacuri phishing ? Nu , datele lor au fost sustrase exact in maniera in care eu vi-o spun, si dimensiunea problemei este GIGANTICA, cel putin asa o percep eu.


Un func?ionar din Prim?rie s-a trezit pe lista creditorilor cu un împrumut la Banca Raiffeisen, de?i nu a semnat niciun contract. A aflat întâmpl?tor, dorind s? fac? un credit la CEC. Acum, dosarul pentru împrumut este blocat, iar cei de la Biroul de Fraude de la Raiffeisen Bucure?ti i-au comunicat c? nu-i poate rezolva problema decât dac? face o plângere penal?. Gabriel Tudose, func?ionar la Prim?ria Br?ila, tr?ie?te de câtva timp, al?turi de familie, co?marul vie?ii sale.Scenariu de co?mar Gabriel Tudose a mers pe firul problemei ?i a reu?it s? descopere ceva mai mult. A solicitat listele cu creditori pentru a afla dac? pe acest împrumut s-a pl?tit vreo rat?. A?a a aflat c? exist? 10 rate pl?tite de o persoan? pe nume Ileana Manu, din Cluj, ?i are ?i alte depuneri într-un cont. Tot din documente reiese c? persoana care a f?cut împrumutul pe numele lui Tudose, a folosit suma de 2700 de lei pentru a-i da avans la firma "Cedarom", pentru a cump?ra o unitate de calculator, de ultimul tip la acel moment, care costa pe pu?in 4900 de lei, stirea fiind completa aici


http://www.ziaruldebraila.ro/deschidere/datornic_fara_vina.html
O pensionar? pe caz de boal?, Domnica Ungureanu, din Turnul Severin era s? fac? infarct dup? ce a aflat c? trebuie s? restituie B?ncii ABN AMRO suma de 7.000 de euro, bani pe care femeia nu îi luase. Ea tr?ie?te la limita s?r?ciei dintr-o pensie de 400 de lei pe lun? ?i spune c? nu are cum s? dea banii b?ncii.

 

Femeia care s-a trezit "împrumutat? la banc? f?r? s? ?tie" ne-a povestit c? era s? cad? din picioare când a v?zut c? nu este vorba de o fars? ?i trebuie s? achite neap?rat creditul de nevoi personale de 7.000 de euro pe care l-ar fi contractat conform documentelor existente.

Mai exact unii au luat bani folosindu-se de datele ei personale, iar ea trebuie s?-i dea înapoi c?tre ABN AMRO BANK, filiala Craiova.

Severineanca Domica Ungureanu sus?ine c? în dosarul ei de executare silit? a v?zut c? altcineva este în poza de pe buletin ?i c? pe cuponul de pensie nu figureaz? suma de 388 de lei cât are în realitate, ci 1.388 de lei. Cazul a fost prezentat de ziarul Click si poate fi citit integral aici http://www.click.ro/actualitate/s-a-trezit-cu-un-imprumut-la-banca.

Intr-un alt caz

un sofer din Constanta

, s-a trezit la randul lui ca figureaza ca avand un credit in derulare desi el nu avea bani nici sa "treaca strada", cazul lui fiind relatat pe larg de Telegraf de Constanta asa cum puteti citi aici


http://www.telegrafonline.ro/pdf/546932fbe215e975f6800b4f7a9af6b7.pdf.

In acest timp,DIICOT ne anunta faptul ca a reusit sa prinda niste persoane care clonau carduri, insa acestia sunt doar varful final al iceberg-ului care este reprezentat de o retea de infractori , pentru ca acestia obtin datele de la cei care profita de lipsa de securitate a serverelor unde stau cuminti si asteapta sa fie culese, datele personale si documentele romanilor, asa cum puteti citi aici


http://www.adevarul.ro/articole/24-de-persoane-retinute-in-judetul-valcea-pentru-frauda-bancara-prin-internet/360291

Care este legatura intre aceste persoane ? sa fie vorba de faptul ca datele lor personale sau documentele lor gen carti de identitate se pot accesa de pe servere ale CNAS sau Ministerul Sanatatii ? Poate verifica cineva aceasta pista ?


.


Pentru sugestii sau comentarii legate de acest material va invit sa imi scrieti la adresa

iulian.urban@gmail.com



TITLUL III - legea 161/2003
  Prevenirea ?i combaterea criminalit??ii informatice
   CAPITOLUL I
  Dispozi?ii generale

   Art. 34. - Prezentul titlu reglementeaz? prevenirea ?i combaterea criminalit??ii informatice, prin m?suri specifice de prevenire, descoperire ?i sanc?ionare a infrac?iunilor s?vâr?ite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului ?i protec?ia datelor personale.
   Art. 35. - (1) În prezentul titlu, termenii ?i expresiile de mai jos au urm?torul în?eles:
   a) prin sistem informatic se în?elege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în rela?ie func?ional?, dintre care unul sau mai multe asigur? prelucrarea automat? a datelor, cu ajutorul unui program informatic;
   b) prin prelucrare automat? a datelor se în?elege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
   c) prin program informatic se în?elege un ansamblu de instruc?iuni care pot fi executate de un sistem informatic în vederea ob?inerii unui rezultat determinat;
   d) prin date informatice se în?elege orice reprezentare a unor fapte, informa?ii sau concepte într-o form? care poate fi prelucrat? printr-un sistem informatic. În aceast? categorie se include ?i orice program informatic care poate determina realizarea unei func?ii de c?tre un sistem informatic;
   e) prin furnizor de servicii se în?elege:
   1. orice persoan? fizic? sau juridic? ce ofer? utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
   2. orice alt? persoan? fizic? sau juridic? ce prelucreaz? sau stocheaz? date informatice pentru persoanele prev?zute la pct. 1 ?i pentru utilizatorii serviciilor oferite de acestea;
   f) prin date referitoare la traficul informa?ional se în?elege orice date informatice referitoare la o comunicare realizat? printr-un sistem informatic ?i produse de acesta, care reprezint? o parte din lan?ul de comunicare, indicând originea, destina?ia, ruta, ora, data, m?rimea, volumul ?i durata comunic?rii, precum ?i tipul serviciului utilizat pentru comunicare;
   g) prin date referitoare la utilizatori se în?elege orice informa?ie care poate conduce la identificarea unui utilizator, incluzând tipul de comunica?ie ?i serviciul folosit, adresa po?tal?, adresa geografic?, numere de telefon sau alte numere de acces ?i modalitatea de plat? a serviciului respectiv, precum ?i orice alte date care pot conduce la identificarea utilizatorului;
   h) prin m?suri de securitate se în?elege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul c?rora accesul la un sistem informatic este restric?ionat sau interzis pentru anumite categorii de utilizatori;
   i) prin materiale pornografice cu minori se în?elege orice material care prezint? un minor având un comportament sexual explicit sau o persoan? major? care este prezentat? ca un minor având un comportament sexual explicit ori imagini care, de?i nu prezint? o persoan? real?, simuleaz?, în mod credibil, un minor având un comportament sexual explicit.
   (2) În sensul prezentului titlu, ac?ioneaz? f?r? drept persoana care se afl? în una dintre urm?toarele situa?ii:
   a) nu este autorizat?, în temeiul legii sau al unui contract;
   b) dep??e?te limitele autoriz?rii;
   c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, s? o acorde, de a folosi, administra sau controla un sistem informatic ori de a desf??ura cercet?ri ?tiin?ifice sau de a efectua orice alt? opera?iune într-un sistem informatic.

   CAPITOLUL II
  Prevenirea criminalit??ii informatice

   Art. 36. - Pentru asigurarea securit??ii sistemelor informatice ?i a protec?iei datelor personale, autorit??ile ?i institu?iile publice cu competen?e în domeniu, furnizorii de servicii, organiza?iile neguvernamentale ?i al?i reprezentan?i ai societ??ii civile desf??oar? activit??i comune ?i programe de prevenire a criminalit??ii informatice.
   Art. 37. - Autorit??ile ?i institu?iile publice cu competen?e în domeniu, în cooperare cu furnizorii de servicii, organiza?iile neguvernamentale ?i al?i reprezentan?i ai societ??ii civile promoveaz? politici, practici, m?suri, proceduri ?i standarde minime de securitate a sistemelor informatice.
   Art. 38. - Autorit??ile ?i institu?iile publice cu competen?e în domeniu, în cooperare cu furnizorii de servicii, organiza?iile neguvernamentale ?i al?i reprezentan?i ai societ??ii civile organizeaz? campanii de informare privind criminalitatea informatic? ?i riscurile la care sunt expu?i utilizatorii de sisteme informatice.
   Art. 39. - (1) Ministerul Justi?iei, Ministerul de Interne, Ministerul Comunica?iilor ?i Tehnologiei Informa?iei, Serviciul Român de Informa?ii ?i Serviciul de Informa?ii Externe constituie ?i actualizeaz? continuu baze de date privind criminalitatea informatic?.
   (2) Institutul Na?ional de Criminologie din subordinea Ministerului Justi?iei efectueaz? studii periodice în scopul identific?rii cauzelor care determin? ?i a condi?iilor ce favorizeaz? criminalitatea informatic?.
   Art. 40. - Ministerul Justi?iei, Ministerul de Interne, Ministerul Comunica?iilor ?i Tehnologiei Informa?iei, Serviciul Român de Informa?ii ?i Serviciul de Informa?ii Externe desf??oar? programe speciale de preg?tire ?i perfec?ionare a personalului cu atribu?ii în prevenirea ?i combaterea criminalit??ii informatice.
   Art. 41. - Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau restric?ionat pentru anumite categorii de utilizatori au obliga?ia de a avertiza utilizatorii cu privire la condi?iile legale de acces ?i utilizare, precum ?i cu privire la consecin?ele juridice ale accesului f?r? drept la aceste sisteme informatice. Avertizarea trebuie s? fie accesibil? oric?rui utilizator.

   CAPITOLUL III
  Infrac?iuni ?i contraven?ii

   SEC?IUNEA 1
  Infrac?iuni contra confiden?ialit??ii ?i integrit??ii datelor
?i sistemelor informatice

   Art. 42. - (1) Accesul, f?r? drept, la un sistem informatic constituie infrac?iune ?i se pedepse?te cu închisoare de la 3 luni la 3 ani sau cu amend?.
   (2) Fapta prev?zut? la alin. (1), s?vâr?it? în scopul ob?inerii de date informatice, se pedepse?te cu închisoare de la 6 luni la 5 ani.
   (3) Dac? fapta prev?zut? la alin. (1) sau (2) este s?vâr?it? prin înc?lcarea m?surilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani.
   Art. 43. - (1) Interceptarea, f?r? drept, a unei transmisii de date informatice care nu este public? ?i care este destinat? unui sistem informatic, provine dintr-un asemenea sistem sau se efectueaz? în cadrul unui sistem informatic constituie infrac?iune ?i se pedepse?te cu închisoare de la 2 la 7 ani.
   (2) Cu aceea?i pedeaps? se sanc?ioneaz? ?i interceptarea, f?r? drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce con?ine date informatice care nu sunt publice.
   Art. 44. - (1) Fapta de a modifica, ?terge sau deteriora date informatice ori de a restric?iona accesul la aceste date, f?r? drept, constituie infrac?iune ?i de pedepse?te cu închisoare de la 2 la 7 ani.
   (2) Transferul neautorizat de date dintr-un sistem informatic se pedepse?te cu închisoare de la 3 la 12 ani.
   (3) Cu pedeapsa prev?zut? la alin. (2) se sanc?ioneaz? ?i transferul neautorizat de date dintr-un mijloc de stocare a datelor informatice.
   Art. 45. - Fapta de a perturba grav, f?r? drept, func?ionarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ?tergerea sau deteriorarea datelor informatice sau prin restric?ionarea accesului la aceste date constituie infrac?iune ?i se pedepse?te cu închisoare de la 3 la 15 ani.
   Art. 46. - (1) Constituie infrac?iune ?i se pedepse?te cu închisoare de la 1 la 6 ani:
   a) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispozi?ie, sub orice alt? form?, f?r? drept, a unui dispozitiv sau program informatic conceput sau adaptat în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute la art. 42-45;
   b) fapta de a produce, vinde, de a importa, distribui sau de a pune la dispozi?ie, sub orice alt? form?, f?r? drept, a unei parole, cod de acces sau alte asemenea date informatice care permit accesul total sau par?ial la un sistem informatic în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute la art. 42-45.
   (2) Cu aceea?i pedeaps? se sanc?ioneaz? ?i de?inerea, f?r? drept, a unui dispozitiv, program informatic, parol?, cod de acces sau dat? informatic? dintre cele prev?zute la alin. (1) în scopul s?vâr?irii uneia dintre infrac?iunile prev?zute la art. 42-45.