Amenințare cibernetică la ANRE: Riscul expunerii informațiilor personale pentru aproximativ 1.000 de clienți de energie și gaze
Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) a raportat un incident de securitate cibernetică în platforma sa POSF, care permite consumatorilor de energie electrică și gaze naturale să își schimbe furnizorul prin compararea ofertelor din piață. ANRE a subliniat că nu a fost un atac cibernetic, ci o eroare tehnică apărută în urma unor lucrări de mentenanță efectuate de către contractantul POSF, care a permis accesarea neautorizată a unor date.
Platforma a fost dezvoltată de compania Metaminds SA, care are în spate acționari importanți, precum Cristian Anastasescu și Andrei Cruceru. Contractul cu ANRE a fost semnat în 2021, având o valoare de aproximativ 10,8 milioane lei plus TVA.
Conform ANRE, în urma lucrărilor de mentenanță realizate pe platforma posf.ro, anumite endpoint-uri ar fi putut fi accesate fără autentificare între mai 2024 și 6 august 2025, ceea ce ar fi permis obținerea neautorizată de date cu caracter personal. Vulnerabilitatea a fost remediată pe 6 august 2025 prin blocarea accesului public la aceste endpoint-uri.
Informațiile posibil expuse includ: nume, prenume, cod numeric personal (CNP), adresă de domiciliu, adresă de corespondență, serie și număr carte de identitate, precum și număr de telefon. Se estimează că aproximativ 1.000 de persoane fizice ar fi fost afectate, deși numărul exact nu este confirmat în prezent. ANRE continuă să solicite informații de la contractant pentru a determina impactul exact al incidentului.
ANRE a comunicat că nu există dovezi că incidentul ar fi avut intenții ostile, menționând că vulnerabilitatea a fost raportată imediat de către persoana care a descoperit-o. De asemenea, nu există indicii că datele expuse ar fi fost utilizate în scopuri frauduloase.
În urma incidentului, ANRE a implementat trei tipuri de măsuri:
- Măsuri tehnice: Dezactivarea generării automate a API-urilor neautentificate, izolarea endpoint-urilor vulnerabile și aplicarea patch-urilor de securitate.
- Măsuri administrative: Proceduri de analiză și obținerea de clarificări tehnice de la contractant, precum și demersuri pentru a atrage răspunderea contractorului în caz de prejudiciu.
- Măsuri inter-instituționale: Notificarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și solicitarea de sprijin din partea Directoratului Național pentru Securitate Cibernetică și ICI București.
ANRE a precizat că amploarea datelor expuse este încă în curs de investigare și va publica o informare suplimentară odată ce numărul persoanelor vizate și amploarea incidentului vor fi stabilite. Instituția își cere scuze utilizatorilor pentru îngrijorările provocate de acest incident și reafirmă angajamentul său de a proteja datele cu caracter personal.
