O eroare tehnică la o platformă națională de comparare a furnizorilor de energie electrică și gaze naturale a expus datele personale ale aproximativ o mie de utilizatori. Informația a fost confirmată de Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE).

ANRE a confirmat un incident pe platforma de comparație a ofertelor, după ce pe internet apăruse speculația despre furtul datelor a peste 13 milioane de persoane.

Conform estimărilor preliminare, incidentul a afectat datele a 1.000 de persoane.

ANRE a precizat următoarele:

1. Incidentul nu a fost un atac cibernetic. O eroare tehnică, apărută în timpul lucrărilor de întreținere, a permis accesul neautorizat la date.
2. Lucrările de mentenanță au fost realizate de către firma responsabilă de dezvoltarea platformei, nu de ANRE.
3. Nu există indicii care să sugereze intenții maligne, deoarece vulnerabilitatea a fost semnalată imediat către ANRE. Complexitatea accesării datelor sugerează un incident limitat.
4. Nu există dovezi că datele expuse ar fi folosite în scopuri frauduloase.
5. Vulnerabilitatea a fost remediată rapid, în decurs de o oră de la descoperire.

Datele expuse

În timpul lucrărilor de întreținere, anumite componente ale platformei au fost accesibile fără autentificare. Acest lucru a permis potențial accesul neautorizat la date personale în perioada mai 2024 – 6 august 2025. Vulnerabilitatea a fost remediată prin blocarea accesului la aceste componente.

Datele posibil expuse includ: nume, prenume, CNP, adrese (domiciliu și corespondență), serie și număr de carte de identitate, numere de telefon.

Numărul exact al persoanelor afectate este încă în curs de evaluare. ANRE continuă să obțină informații suplimentare de la firma contractantă.

Acțiuni ANRE

ANRE a implementat măsuri tehnice, asumate de contractant:

• dezactivarea mecanismului de generare automată a API-urilor neautentificate;
• izolarea și restricționarea endpoint-urilor vulnerabile;
• aplicarea corecțiilor de securitate;
• audit complet al codului și infrastructurii;
• implementarea testelor automate de penetrare;
• instruirea echipei tehnice;
• planificarea auditurilor periodice.

ANRE a întreprins acțiuni administrative, incluzând obținerea de clarificări tehnice și evaluarea posibilității de a solicita răspunderea contractorului, dacă este cazul.

ANRE a notificat instituțiile relevante, inclusiv Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), și a solicitat sprijinul unor instituții competente pentru investigații.

ANRE va comunica informații suplimentare ulterior, iar afirmațiile alarmantă de pe internet nu reflectă situația reală. Instituția își exprimă regretul pentru neplăcerile provocate de incident.