Articol actualizat cu răspunsul Consiliului Județean Iași

La două zile după ce Consiliul Județean Iași a pierdut accesul asupra contului oficial de Facebook, situația a rămas neschimbată, profilul instituției având în continuare numele Chicken Game 2 și poza aferentă jocului de noroc Chicken Road.

Chicken Road este o păcănea digitală disponibilă pe mai multe cazinouri online ce promit câștiguri de mii de dolari pentru un depozit inițial de maxim câteva zeci.

Nu se știe când s-a produs accesul neautorizat, dar schimbarea fotografiei de profil s-a produs sâmbătă, 4 octombrie, puțin înainte de miezul nopții, la ora 23:49.

CJ Iași a spus pentru Hackuritate.ro că primele verificări indică o compromitere a contului unuia dintre administratorii paginii oficiale a instituției, cel mai probabil ca urmare a „unei metode de atac cibernetic prin care datele sale de autentificare au fost expuse și utilizate pentru pentru preluarea accesului”.

După preluarea controlului, atacatorul a eliminat conturile administratorilor și ale editorilor, care erau protejate prin parole unice și „măsuri de securitate de bază”, a transmis CJ Iași.

Instituția a spus că a contactat Meta în repetate rânduri și că depinde momentan de procedurile și răspunsurile companiei Meta pentru recuperarea accesului la pagina oficială de Facebook. În plus incidentul a fost raportat către Directoratul Național de Securitate Cibernetică (DNSC), de la care se așteaptă sprijin și remediere.

Pe 1 august, DNSC a publicat un Ghid de igienă cibernetică pentru autoritățile și instituțiile publice locale din România cu un capitol cuprinzător de măsuri de protecție ce include informații curente pentru protejarea conturilor și autentificării.

Cadrul legal

Deși pare o faptă minoră, Codul Penal la capitolul VI, articolul 360 referitor la accesul ilegal la un sistem informatic precizează că “accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă”.

Dacă scopul faptei este obținerea de date informatice, pedeapsa cu închisoarea crește de la 6 luni la 5 ani. La alineatul 3 se precizează că dacă prin folosirea unor “proceduri, dispozitive sau programe specializate, accesul este restricționat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani. “

Trebuie menționat că în privința accesului ilegal la un sistem informatic nu se diferențiază metodele folosite, e.g. ghicirea parolei sau exploatarea unei vulnerabilități ci se referă la orice modalitate de acces fără consimțământul titularului contului sau administratorului sistemului informatic.

Din punct de vedere legal, un sistem informatic este “orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic” – articolul 181.

Conform interpretării legale, în această categorie se încadrează orice rețea de socializare.

Opțiuni de securizare a contului Facebook

Facebook pune la dispoziție mai multe opțiuni de dublă autentificare prin care utilizatorul poate primi coduri temporare de acces printr-o aplicație de autentificare (Google/ Microsoft Authenticator) sau prin mesaje, precum și coduri de backup.

În plus, platforma socială oferă și opțiunea definirii unor dispozitive în care utilizatorul are încredere și pe care nu trebuie să folosească un cod de autentificare.

Utilizatorii trebuie să țină cont de faptul că protejarea corectă a unui cont online nu se mai poate face doar cu o parolă unică și puternică, autentificarea în doi pași (2FA) fiind o variantă de securitate capabilă să împiedice majoritatea încercărilor de access neautorizat atunci când datele de logare (username și parolă) sunt compromise.

În afară de măsurile de securitate, menite să împiedice accesul neautorizat, Facebook oferă soluții și pentru situațiile în care utilizatorul nu poate recupera contul pentru că nu mai are acces la adresa de email și telefonul asociat contului.

Pe pagina Facebook cu documentația pentru recuperarea contului sunt prezentate mai multe variante ce implică verificarea cu o adresă de email sau dispozitiv care au mai fost folosite la logarea în cont.