Știri
Știri din categoria Securitate cibernetică
Peste 8.800 de „puncte de atac” cibernetic au vizat instituții-cheie ale statului în martie–aprilie, iar autoritățile iau în calcul avansarea unor sancțiuni pentru atacuri hibride, potrivit declarațiilor făcute de ministra de Externe Oana Țoiu, citate de G4Media. Miza imediată este întărirea coordonării cu NATO și UE, inclusiv printr-un seminar NATO pe amenințări hibride pe care România îl va găzdui la București în toamnă.
În declarațiile sale, Oana Țoiu a spus că atacurile au vizat „site-uri esențiale și infrastructuri IT” ale unor instituții precum Parlamentul, Bursa de Valori, Ministerul Transporturilor și Ministerul Afacerilor Externe, inclusiv platforma de solicitare a vizelor. Ministra a atribuit atacurile unor „hackeri proruși”.
„Am avut, pe parcursul lunii martie și la începutul lunii aprilie, peste 8.800 de puncte de atac asupra unor site-uri esențiale și infrastructuri IT (…) astfel că vom avansa în direcția unor posibile sancțiuni împotriva atacurilor hibride.”
În contextul acestor atacuri, România a decis să găzduiască la București, în toamnă, seminarul NATO privind amenințările hibride, cu obiectivul de a îmbunătăți coordonarea atât cu Alianța, cât și în cadrul Uniunii Europene, în analiza și răspunsul la astfel de interferențe.
Oana Țoiu a amintit și că România găzduiește deja Centrul Cyber al Uniunii Europene (ECCC), poziție din care ar putea „facilita convergența strategică dintre UE și NATO” în domeniu.
„Este esențial să discutăm despre apărarea democrației și a infrastructurii critice chiar aici, la București (…) Să creștem presiunea asupra Rusiei, să sporim sancțiunile.”
Faptul că între țintele menționate se află și Bursa de Valori indică o presiune directă asupra infrastructurilor digitale cu rol în funcționarea piețelor și a instituțiilor publice. În lipsa unor detalii tehnice în informațiile prezentate (tipul atacurilor, efectele, întreruperi de servicii), consecința imediată rămâne una de politică publică: accelerarea coordonării internaționale și discutarea unor măsuri de sancționare pentru atacuri hibride.
Recomandate
Google extinde verificarea obligatorie a advertiserilor financiari în toate statele UE și SEE , ceea ce înseamnă că firmele care vor să ruleze reclame pentru servicii financiare trebuie să dovedească autorizarea de la autoritățile naționale, altfel campaniile vor fi restricționate. Măsura este detaliată de Google Blog și vizează reducerea fraudelor din publicitatea online. Extinderea acoperă toate statele din Uniunea Europeană și din Spațiul Economic European , prin adăugarea a încă 24 de țări la programul deja activ în 18 țări la nivel global (inclusiv în șase state membre UE și în Regatul Unit). Google leagă această schimbare de obiectivul de a opri escrocheriile „înainte să înceapă”, prin verificarea identității și a dreptului de a oferi servicii financiare. Ce se schimbă pentru companii: verificare sau restricții în 30 de zile Pentru a rula reclame în zona serviciilor financiare, advertiserii trebuie să parcurgă procesul de verificare al Google. Verificarea se face prin compararea acreditărilor direct cu registrele oficiale relevante din UE și SEE. Implementarea va fi introdusă „în faze”, iar companiile vor avea 30 de zile de la notificare pentru a finaliza verificarea. Dacă nu sunt verificate în acest interval, Google va restricționa reclamele pentru servicii financiare până la finalizarea procesului. Context de securitate: filtrare mai strictă a reclamelor financiare Google spune că noua cerință se sprijină pe programul existent de verificare a identității advertiserilor, care acoperă deja peste 98% din reclamele văzute în UE. Compania indică și rolul unor mecanisme de apărare „construite cu Gemini” pentru a bloca reclamele dăunătoare înainte să ajungă la utilizatori. Ca ordin de mărime al efortului de moderare, Google menționează că anul trecut sistemele sale au blocat sau eliminat peste 1,6 miliarde de reclame în UE, iar la nivel global acest cadru a contribuit la blocarea sau eliminarea a 327,8 milioane de reclame neautorizate pentru servicii financiare. De ce contează Pentru piața de publicitate online, schimbarea ridică pragul de conformare pentru actorii din zona financiară: accesul la inventarul de reclame depinde explicit de dovada autorizării de către regulatorul național. Pentru utilizatori, efectul urmărit este reducerea expunerii la reclame înșelătoare în contexte sensibile (bănci, credite, asigurări), unde fraudele pot produce pierderi directe. [...]
România și Bulgaria cer finanțare UE pentru un centru comun de securitate maritimă la Marea Neagră , proiect gândit să susțină schimbul de informații și coordonarea regională, potrivit Mediafax . Inițiativa a fost prezentată statelor membre în cadrul reuniunii Consiliului Afaceri Externe al Uniunii Europene , la Luxemburg. Conform informațiilor citate de Mediafax, proiectul a fost discutat în prezența ministrului bulgar de externe, Velislava Petrova, iar anunțul a fost preluat din presa bulgară. Ce ar face centrul și unde ar funcționa Structura este planificată să funcționeze simultan în două puncte: Constanța (România) Varna (Bulgaria) Potrivit părții bulgare, centrul ar urma să sprijine: schimbul de informații între țări, coordonarea între aliați, monitorizarea riscurilor de securitate în zona Mării Negre. În timp, proiectul ar putea colabora cu alte mecanisme și organizații regionale existente, mai notează aceeași sursă. De ce contează: finanțarea UE și integrarea în strategia pentru Marea Neagră Miza imediată este obținerea finanțării europene, pe care Sofia o consideră necesară pentru ca proiectul să poată fi implementat și dezvoltat pe termen lung. Inițiativa este prezentată ca un instrument pentru consolidarea securității în regiune, în cadrul noii Strategii a Uniunii Europene pentru Marea Neagră. Propunerea vine pe fondul importanței crescute a regiunii după războiul din Ucraina și al atenției sporite acordate de UE securității, rutelor energetice și libertății de navigație în zonă. România și Bulgaria susțin că un centru comun ar îmbunătăți coordonarea și ar accelera răspunsul la amenințările din regiune. [...]
O vulnerabilitate din pluginul Gravity SMTP expune chei API fără autentificare , iar atacatorii au industrializat rapid exploatarea, punând presiune operațională pe administratorii WordPress: simpla actualizare nu este suficientă dacă datele au fost deja extrase. Potrivit The Next Web , Wordfence a blocat peste 17 milioane de încercări de exploatare a breșei, iar pluginul este instalat pe aproximativ 100.000 de site-uri. Vulnerabilitatea ( CVE-2026-4020 ), evaluată la 5,3 pe scara CVSS de către Wordfence, afectează toate versiunile Gravity SMTP până la 2.1.4 inclusiv. Remedierea a fost livrată în versiunea 2.1.5, publicată pe 17 martie 2026, însă exploatarea „în sălbăticie” a început abia la începutul lunii mai, ceea ce sugerează că atacatorii au analizat patch-ul (actualizarea) sau au identificat independent problema după apariția acestuia. De ce contează: cheile pot rămâne compromise și după patch Miza principală este că expunerea include credențiale reutilizabile — chei API, „secrete” și tokenuri OAuth (jetoane de autorizare) — pentru integrările de e-mail configurate în plugin. Gravity SMTP suportă, între altele, Amazon SES, Google, Mailjet, Resend și Zoho, iar dacă un site are conectate astfel de servicii, credențialele pot apărea în răspunsul serverului. Consecința practică: un atacator care obține aceste date poate trimite e-mail în numele site-ului compromis, util pentru phishing și fraude de tip „business email compromise” (compromiterea corespondenței de business). Cum funcționează breșa și ce date se scurg Cauza este un endpoint (punct de acces) din REST API înregistrat la: /wp-json/gravitysmtp/v1/tests/mock-data Acesta folosește o funcție de permisiuni care „returnează true” necondiționat, adică nu verifică autentificarea înainte de a procesa cererea. Dacă atacatorul adaugă parametrul ?page=gravitysmtp-settings , endpointul poate returna aproximativ 365 KB de JSON cu un raport complet de sistem. Pe lângă credențiale, raportul include informații care reduc masiv efortul de recunoaștere pentru atacuri ulterioare: versiuni WordPress și PHP, extensii încărcate, versiunea serverului web, calea document root, tipul și versiunea serverului de baze de date, lista pluginurilor active cu versiuni, tema activă și nume de tabele din baza de date. În analiza Wordfence, riscul este dublu: abuzarea serviciilor conectate și accelerarea atacurilor ulterioare prin „harta” detaliată a stack-ului software. „Expunerea credențialelor API terțe în timp real înseamnă că un atacator ar putea abuza serviciile de e-mail conectate ale site-ului, iar raportul detaliat de sistem reduce semnificativ efortul necesar pentru a planifica atacuri suplimentare”, au scris cercetătorii Wordfence, potrivit articolului. Semnale de atac și ritmul exploatării Wordfence spune că a observat un vârf puternic al volumului în jurul datei de 6 iunie 2026, iar pe 7 iunie a blocat peste 4 milioane de cereri într-o singură zi. Traficul ar proveni în principal dintr-un „cluster” de adrese IP, publicate de Wordfence pentru a fi adăugate în liste de blocare. Indicatorul-cheie de compromitere menționat este prezența în logurile serverului a cererilor către endpointul de mai sus, în special cele care includ parametrul ?page=gravitysmtp-settings . Platforma open-source CrowdSec a confirmat independent cronologia: a introdus detecție pentru CVE-2026-4020 pe 22 mai și a observat primele exploatări reale pe 27 mai; până la 1 iunie, activitatea era deja clasificată drept „zgomot de fundal”, semn că fusese integrată în scanări automate la scară. Ce au de făcut administratorii: update + rotația cheilor Recomandarea din avertismentul Wordfence, preluată de publicație, este ca administratorii care rulează versiuni vulnerabile și au integrări de e-mail configurate să presupună compromiterea și să acționeze în doi pași: actualizare la Gravity SMTP 2.1.5 sau mai nou; rotația imediată a tuturor cheilor API, „secretelor” și tokenurilor OAuth configurate în conectorii de e-mail ai pluginului, plus verificarea logurilor pentru cereri către endpointul vulnerabil și pentru IP-urile publicate. Publicația notează și o problemă structurală: deși patch-ul a existat cu luni înainte de vârful exploatării, multe site-uri au rămas neactualizate, iar decalajul dintre disponibilitatea patch-urilor și instalarea lor rămâne un punct slab recurent, mai ales în ecosistemul de pluginuri WordPress. [...]
Nintendo confirmă un incident de securitate la un furnizor terț, iar miza operațională este expunerea de date interne despre angajați, nu compromiterea sistemelor sau a datelor clienților , potrivit TechRadar . Compania spune că nu au fost accesate date personale ale clienților sau informații financiare și că sistemele Nintendo nu au fost compromise. Atacul este atribuit unui grup de tip „extortion-as-a-service” (un model în care infrastructura și „serviciile” de șantaj cibernetic sunt oferite ca pachet), numit Shadowbyt3$, care susține că ar fi extras aproape 1 GB de date dintr-o platformă folosită de Nintendo of America pentru sondaje interne de angajați ( TinyPulse ). Grupul ar fi cerut 2 milioane de dolari (aprox. 9,2 milioane lei) și ar fi dat companiei 48 de ore pentru a începe negocieri, înainte de a publica fișierele. Ce date ar fi fost vizate și de ce contează operațional Conform relatării, atacatorii susțin că setul de date ar include informații precum nume, adrese de e-mail, analitice și date din sondaje, precum și documente asociate angajaților (inclusiv formulare W-9 și alte rapoarte). Ei au afirmat că incidentul nu ar fi afectat departamentul de gaming, ci angajații care au folosit TinyPulse, o platformă de „engagement” intern care colectează feedback prin sondaje scurte și frecvente. Pentru companii, astfel de breșe la furnizori terți au un impact direct asupra operațiunilor: pot declanșa investigații interne, notificări și măsuri de remediere cu furnizorul, precum și riscuri de inginerie socială (tentative de fraudă bazate pe date despre angajați), chiar dacă infrastructura principală nu a fost penetrată. Poziția Nintendo și incertitudinile legate de scurgere Într-o declarație transmisă către BleepingComputer, Nintendo of America a confirmat incidentul la TinyPulse și a precizat că: „Suntem conștienți de o problemă care implică TinyPulse, un serviciu terț folosit pentru sondaje interne ale angajaților la Nintendo of America. Sistemele Nintendo nu au fost compromise și nu au fost accesate date personale ale clienților sau date financiare.” Compania a mai spus că datele implicate sunt limitate la conținutul sondajelor interne pentru „un subset mic” de angajați și că „majoritatea informațiilor” sunt vechi de câțiva ani, adăugând că lucrează cu furnizorul pentru a rezolva problema. Ulterior, Shadowbyt3$ ar fi publicat un link către un set de date care ar conține mesaje directe și conversații între angajați. TechRadar notează însă că autenticitatea acestor informații nu a fost confirmată de analiști, ceea ce lasă deschisă atât posibilitatea unei scurgeri reale, cât și cea a unei tentative de presiune în negocieri. [...]
SRI justifică atribuirea directă a unui acord-cadru de aproape 200 milioane euro (aprox. 1 miliard lei) către Digi pentru o platformă de inteligență artificială în securitate cibernetică , invocând proceduri accelerate permise de noile reguli SAFE, potrivit HotNews . Acordul vizează proiectul OCCULT-AI și, conform răspunsului transmis publicației, are ca obiect „dezvoltarea unei platforme integrate pentru evaluarea modelelor locale de tip Large Language Model (LLM) specializate în domeniul securității cibernetice” și crearea unui laborator de testare pentru astfel de modele. Pe înțelesul publicului, LLM este tipul de tehnologie din spatele unor produse precum ChatGPT, Claude sau Gemini, iar rularea „locală” (pe servere proprii) reduce riscul ca datele analizate să fie trimise către furnizori externi și poate funcționa și fără internet. Ce cumpără SRI și pe ce durată SRI precizează că acordul-cadru are o durată de 48 de luni și stabilește condițiile generale, urmând ca activitățile să fie derulate etapizat. Instituția mai spune că suma comunicată public reprezintă valoarea maximă a acordului-cadru, iar implementarea se face în limitele contractuale și ale obiectivelor asumate prin Instrumentul SAFE . În descrierea proiectului, SRI indică și un caracter „dual” al capabilităților dezvoltate: utilizare atât în scopuri de securitate și apărare, cât și pentru aplicații civile. Concret, soluțiile ar urma să fie folosite pentru protejarea infrastructurilor și sistemelor informatice relevante pentru securitatea națională, dar și pentru creșterea securității cibernetice a serviciilor publice digitale și a infrastructurilor critice. De ce fără licitație: baza legală invocată Punctul sensibil rămâne procedura: SRI explică faptul că a atribuit acordul-cadru prin „negociere fără publicarea prealabilă a unui anunț de participare”, susținând că legislația permite această abordare pentru achiziții din domeniul apărării și securității, în contextul SAFE. Instituția invocă, între altele, Articolul 19 din regulamentul european SAFE și ordonanța românească de aplicare (OUG 62/2025), precum și prevederi din Directiva 2009/81/CE și OUG 114/2011. SRI mai arată că a fost solicitată aprobarea prealabilă a Parlamentului pentru inițierea procedurilor, iar pe 13 mai 2026 comisiile de specialitate au aprobat demararea achiziției. „Procedura de achiziție utilizată pentru atribuirea acordului-cadru – negocierea fără publicarea prealabilă a unui anunț de participare – s-a derulat în baza art. 28 alineatul (1) litera (c) din Directiva 2009/81/CE (...)”, arată SRI în răspunsul redat de HotNews. Întrebarea fără răspuns: de ce Digi Deși HotNews a întrebat explicit de ce a fost ales Digi și nu un alt operator (precum Vodafone sau Orange, unde statul român este acționar cu 20%), SRI nu a oferit un răspuns pe această temă, limitându-se la justificarea cadrului legal și a pașilor de aprobare. În context, publicația amintește că Orange a transmis anterior că a aflat din presă despre contract, deși compania susține că are „peste 3.000 de experți”. Contextul bugetar: trei proiecte SAFE, 462 milioane euro Documentul SRI transmis în Parlament și consultat de HotNews indică trei proiecte SAFE cu o valoare estimată totală de 462 milioane euro, dintre care OCCULT-AI este cel mai mare, la 200 milioane euro. Celelalte două proiecte sunt „Mobile Capabilities To Provide Continuous Secure Essential Digital Services In Case Of Military Crisis” (130 milioane euro) și „Helicopters” (132 milioane euro), potrivit documentului și unei relatări Agerpres. Pentru proiectul OCCULT-AI, miza economică și de reglementare este dublă: pe de o parte, dimensiunea acordului-cadru și durata de patru ani, pe de altă parte, folosirea procedurilor accelerate SAFE, care reduc transparența tipică unei licitații deschise, dar sunt prezentate ca instrument pentru achiziții rapide în domenii strategice. Documentul SRI consultat de HotNews este disponibil aici , iar prima reacție publică a instituției din 4 iunie 2026 poate fi consultată pe site-ul SRI, aici . [...]
Ordinul SUA de a bloca accesul la Mythos nu s-a aplicat uniform , iar o parte dintre organizațiile selectate de Anthropic pentru testarea modelului au rămas conectate la o versiune „preview”, deși alte variante au fost oprite în baza unei directive de export, potrivit The Next Web . Miza este una de reglementare și guvernanță: decizia guvernului american a vizat suspendarea accesului pentru „cetățeni străini” invocând motive de securitate națională, însă, în practică, unele entități au păstrat accesul la Mythos Preview , ceea ce ridică întrebări despre cine controlează efectiv utilizarea unui instrument de securitate cu potențial „dublă utilizare” (atât defensiv, cât și ofensiv). Ce este Mythos Preview și de ce contează Anthropic a limitat Mythos Preview la aproximativ 200 de organizații, inclusiv guvernul SUA, prin programul Glasswing, după ce modelul a demonstrat o capacitate neobișnuită: identificarea a mii de vulnerabilități software. O versiune mai puțin puternică a fost disponibilizată mai larg, dar a fost ulterior dezactivată când Departamentul Comerțului a cerut suspendarea accesului pentru toți cetățenii străini. Diferența dintre „preview” și versiunile oprite este esențială: unele organizații au rămas cu acces la varianta avansată, chiar în timp ce restul accesului a fost restricționat. Cine a rămas cu acces și cine a fost scos Două companii au confirmat pentru Bloomberg că încă au acces la Mythos Preview: Dragos (companie de securitate cibernetică industrială, la care Accenture ar urma să achiziționeze o participație majoritară, conform articolului) Cisco Systems În schimb, Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA), invitată anterior să se alăture programului Glasswing înainte de blocajul impus de Washington, a fost informată că nu va mai primi acces. Publicația notează că această decizie inversează o înțelegere discutată într-o întâlnire cu doar câteva zile înainte și sugerează că, „pentru moment”, o agenție europeană nu poate fi compatibilizată cu ordinul de export al SUA. Discreția rămasă la companie, în „spațiul” lăsat de directivă Articolul indică faptul că ordinul de export vizează cetățenii străini, dar nu pare să stabilească explicit, organizație cu organizație, cine dintre membrii existenți ai Glasswing își păstrează accesul la versiunea preview. Consecința practică este că Anthropic ajunge să facă evaluări de la caz la caz privind accesul la unul dintre cele mai capabile modele orientate spre securitate. Publicația subliniază că Anthropic nu a detaliat criteriile după care decide accesul, iar situația rămâne fluidă. Cert este că oprirea nu a fost totală, „supraviețuitorii” sunt concentrați în zona utilizatorilor americani din securitate defensivă, iar prima organizație europeană invitată a ajuns și prima exclusă. [...]
