APR prijavio kompromitovan spoljašnji korisnički nalog, dok se na forumu pojavljuju uzorci CEOP dokumenata
Na forumu Bezbedan Balkan objavljena je tvrdnja da isti akter koji je prethodno preuzeo odgovornost za incident sa Telekom Srbija poseduje i podatke povezane sa APR-om, uz uzorke dokumenata koji po komentarima učesnika deluju kao materijal iz CEOP sistema za objedinjene procedure izdavanja građevinskih dozvola. U objavi se pominju punomoćja, potvrde i druga dokumentacija sa osetljivim ličnim podacima. U istoj diskusiji prenosi se i saopštenje APR-a da baze podataka nisu kompromitovane i da je, nakon provere, utvrđeno kompromitovanje spoljašnjeg korisničkog naloga preko kojeg se pristupalo jednom od aplikativnih sistema Agencije. Zbog toga u ovom trenutku nije jasno da li je reč o širem proboju sistema, zloupotrebi jednog naloga sa većim pristupom, ili kompromitaciji ograničenoj na određeni aplikativni tok.
Ovakav slučaj je važan zato što pokazuje koliko šteta može nastati i bez potvrđenog proboja centralne baze, ako jedan spoljašnji nalog omogući pristup dokumentima iz poslovnog procesa. U praksi, za pogođene ljude razlika između kompromitovane baze i kompromitovanog aplikativnog pristupa često nije velika, jer su posledice iste ako su lični dokumenti i podaci već izašli iz kontrolisanog okruženja.
- Hitno utvrditi obim pristupa kompromitovanog spoljašnjeg korisničkog naloga i precizno mapirati kojim dokumentima i aplikativnim tokovima je mogao da pristupi
- Pregledati sve CEOP i povezane aplikativne logove radi utvrđivanja obima preuzimanja dokumenata, vremenskog perioda i eventualne automatizacije pristupa
- Obavestiti potencijalno pogođena lica ako postoji verovatnoća da su njihovi lični dokumenti ili identifikacioni podaci bili dostupni neovlašćenom akteru
- Uvesti dodatne kontrole za spoljne korisničke naloge, uključujući jaču autentifikaciju, ograničenje obima pristupa i detekciju neuobičajenog preuzimanja dokumenata
- Javno razdvojiti šta je potvrđeno, a šta još nije, kako bi se smanjila konfuzija između tvrdnji napadača, forumaških analiza i zvanične istrage