O vulnerabilitate în sistemul online național de schimbare a furnizorilor de energie a afectat datele personale ale aproximativ o mie de utilizatori. Informația a fost obținută de un cotidian național.
Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) a confirmat, vineri, un incident pe platforma de comparare a ofertelor (POSF). Anterior, speculații nefondate, potrivit cărora datele personale ale a 13 milioane de români ar fi fost compromise, au apărut pe diverse platforme online.
Potrivit datelor preliminare furnizate de firma de servicii tehnologice care administrează platforma, incidentul a afectat aproximativ 1.000 de persoane.
Informații oficiale de la ANRE:
- Incidentul nu a fost un atac cibernetic, ci a rezultat dintr-o eroare tehnică apărută în timpul unor lucrări de întreținere efectuate de un furnizor extern.
- Activitățile tehnice care au dus la vulnerabilitatea sistemului nu au fost inițiate de ANRE, ci de firma de servicii contractată.
- Nu există dovezi care să sugereze intenții frauduloase. Vulnerabilitatea a fost semnalată imediat ANRE de către personalul care a descoperit-o. Având în vedere complexitatea tehnică a accesării datelor, incidentul este considerat limitat.
- Nu există indicii că datele expuse au fost sau vor fi folosite în scopuri frauduloase.
- Vulnerabilitatea a fost remediată într-o oră de la identificare.
Ce fel de date au fost expuse
În urma lucrărilor de întreținere realizate de furnizorul extern pe platforma posf.ro, anumite componente ale platformei POSF au fost accesibile fără autentificare între mai 2024 și 6 august 2025, ceea ce a permis un acces neautorizat la informații personale. Vulnerabilitatea a fost remediată pe 6 august 2025.
Informațiile posibil compromise includ: nume, prenume, CNP, adrese (de domiciliu și corespondență), date de identificare (serie și număr carte de identitate) și număr de telefon.
Numărul exact de persoane afectate este încă în curs de evaluare. ANRE continuă să colecteze informații de la furnizorul extern pentru a stabili cu precizie impactul incidentului.
Măsurile luate de ANRE
ANRE a implementat măsuri tehnice imediate și suplimentare:
- dezactivarea mecanismului automat de generare a API-urilor neautorizate;
- izolarea și restricționarea tuturor componentelor vulnerabile, până la remedierea completă;
- aplicarea corecțiilor de securitate în termen de o oră de la constatare;
- audit complet al codului și infrastructurii;
- implementarea testelor automate de penetrare;
- instruire în bune practici de securitate pentru personalul tehnic;
- planificarea de audituri periodice.
În paralel, ANRE a inițiat proceduri administrative pentru clarificări tehnice de la furnizorul extern și pentru analiza impactului, inclusiv potențialul prejudiciu.
ANRE a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și a solicitat sprijin din partea unor instituții specializate în domeniul securității cibernetice.
„Amploarea incidentului este încă în analiză. ANRE se abține de la comentarii suplimentare până la finalizarea investigației. Informațiile vehiculate în spațiul public sunt considerente alarmiste și neconfirmate. Ne cerem scuze utilizatorilor pentru agitația cauzată. Protecția datelor cu caracter personal rămâne o prioritate absolută pentru ANRE.”, a transmis ANRE.