- „Nu voi plăti suma cerută de teroriştii cibernetici”, a spus Cristian Popescu Piedone despre revendicarea hackerilor de a plăti cinci milioane de dolari în schimbul datelor cetățenilor. Săptămâna trecută, Piedone a ajuns șef al Autorității Naționale pentru Protecția Consumatorilor (ANPC), dar în 2024 era primarul Sectorului 5.
- Tot el era primar și în 2023, când a avut loc auditul informatic realizat de firma XKR Tools, care a primit contract direct.
- La cele două adrese ale acționarilor firmei, din perioada contractului, am găsit un bătrân, care a spus că nu a auzit niciodată de numele indicate, și o „fabrică de buletine”, ambele în blocuri de nefamiliști.
- Astăzi firma a ajuns la o persoană „fără venituri” din comuna Telega, Prahova, care a mai preluat alte cinci companii în 2024. Firmei i s-a cerut recent insolvența.
- Anterior, XKR Tools vânduse freze și cuțite pentru strunguri către o societate a Primăriei Sector 3.
- Jurnaliștii Buletin de București(BdB) au prezentat, în trei episoade, cum hackerii au scos la vânzare datele, cum s-au desfășurat negocierile și cum mentenanța site-urilor Primăriei era făcută de familia purtătoarei de cuvânt.
- O investigație Buletin de București și Snoop.
Două date la un an distanță.
- Pe 27 octombrie 2023, Primăria Sector 5 încheie o cumpărare directă pentru un audit informatic cu firma XKR Tools, care avea un singur angajat conform ultimului bilanț depus la Ministerul Finanțelor.
- Pe 26 octombrie 2024, Primăria Sector 5 este atacată cibernetic; serverele îi sunt compromise, iar hackerii amenință că fac publice peste 200.000 de date personale ale locuitorilor sectorului și cer o răscumpărare de 5 milioane de dolari.
Între cele două date se desfășoară un audit realizat de o firmă de negăsit, care avea un singur angajat și doi tineri acționari în momentul contractului: unul abia intrat în companie, altul ieșind imediat după. SRL-ul „fantomă” nu apare în lista auditorilor principali avizați de statul român prin Directoratul Național pentru Securitate Cibernetică (DNSC). Lista companiilor specializate cu care lucrează instituții importante este disponibilă aici:
Ce trebuia să facă firma?
În încredințarea directă din Sistemul Electronic de Achiziții Publice (SEAP) se arată că XKR Tools trebuia, între altele, să evalueze securitatea IT prin analiza riscurilor și să identifice breșele de securitate, vulnerabilitățile și gradul de performanță al sistemelor IT.
Specificații din contract (click pentru detalii)
- Analiza de risc a infrastructurii informatice existente.
- Identificarea breșelor de securitate, a vulnerabilităților și a gradului de performanță a sistemelor IT.
- Evidențierea unor detalii specifice ale decalajelor dintre aranjamentele actuale de securitate și bunele practici în domeniu cu precădere cele impuse de Directiva NIS.
- Definirea unui plan de acțiune care subliniază și indică nivelul de efort al managementului intern necesar pentru implementarea și menținerea unui program de conformitate cu bunele practici in domeniu cu precădere cele impuse de Directiva NIS. În cadrul unui audit, sunt verificate toate stațiile de lucru, serverele și aplicațiile aferente, dar și rețelele de comunicații. Din punct de vedere al securității, este analizat modul în care circulă informațiile în interior și sunt identificate posibilele riscuri de acces neautorizat la rețea și la resursele acesteia, dar și de pierdere a datelor.
Pentru acest contract, XKR Tools a primit suma de 130.000 lei, adică aproximativ 27.000 euro.
Cine este SRL-ul?
În datele publice din contract, XKR Tools oferă un site care nu este funcțional și, la începutul documentării, avea disponibil un singur ecran de pornire cu o poză – logo al companiei.
Compania e fondată din 2013, dar cifra de afaceri și profitul sunt insignifiante până când nu este cumpărată în aprilie 2020, în plină stare de urgență COVID, moment în care i se schimbă numele din Cost Control Servicii în XKR Tools.
A vândut freze de strung la Sectorul 3
E momentul din care firma, care se ocupă de „Intermedieri în comerțul specializat în vânzarea produselor cu caracter specific”, ajunge să declare cifre de afaceri și de peste 3 milioane de lei, cu profit maxim de 1,2 milioane de lei (ambele în 2022).
Are contracte și la Sectorul 3. Dar nu în SEAP. Și nici pentru audit informatic.
Vinde freze din carbură și plăcuțe amovibile (lame din aliaje speciale pentru strunguri) la Administrare Active Sector 3 SRL, o companie din subordinea Consiliului Local Sector 3. Costurile sunt mici, circa 1.200 lei, însă arată un domeniu de activitate total diferit de cel al securității informatice.
Cu un singur angajat, XKR Tools nu mai declară profit sau cifră de afaceri și pentru anul 2023.
E anul în care are loc o schimbare de acționariat chiar în preajma contractului cu Primăria Sectorului 5.
Cine sunt tinerii acționari ai firmei care face auditul la Sectorul 5
Ana Dumitru, născută în septembrie 2001 la Tecuci, este cea care cumpără toate acțiunile și schimbă numele firmei în aprilie 2020, pe când avea doar 18 ani.
Pe 20 octombrie 2023, cu doar o săptămână înainte să fie încheiat contractul cu Primăria Sector 5, ea îi cedează o parte din acțiuni lui Marius-Florin Sturzu, 33 ani, născut la Brașov.
Ana Dumitru va ieși din firmă peste mai puțin de o lună de la semnarea contractului cu PS5, pe 24 noiembrie 2023.
Apoi, unic acționar și administrator rămâne Sturzu.
Dacă Ana Dumitru, acum în vârstă de 23 de ani, n-a mai avut nicio altă firmă pe numele ei, situația e diferită în cazul lui Sturzu.
El are prezențe meteorice în două alte companii, Binder Cons Grup SRL (aprilie – august 2019) și Orizont Plus Construct SRL (noiembrie 2019 – iunie 2020).
Cea de-a doua, fondată chiar de el, încheie, în 2020, mai multe încredințări directe pentru produse necesare în pandemie (alcool sanitar, paturi, dezinfectanți). El vinde firma după ce România iese din starea de urgență, în iunie 2020.
Însă cei doi mai au ceva în comun.
Domiciliul acționarilor, cu alte 70 de persoane la comun
Atât Ana Dumitru cât și Marius-Florin Sturzu au adresa din buletin în câte un „bloc de nefamiliști”, denumirea peiorativă, din comunism, pentru căminele cu garsoniere cu suprafață redusă, aflate în general lângă o fostă platformă industrială din București.
În apartamentele lor figurează cu adresele de domiciliu alte zeci de persoane, în general născute în state din fosta URSS (Republica Moldova, Ucraina, Belarus).
Ana Dumitru apare că locuiește într-un bloc de la periferia Sectorului 3 unde mai stau, din datele identificate de reporteri, 50 de persoane care dețin sau au fost acționari ai unor firme din România.
Marius-Florin Sturzu are adresa din buletin într-un alt bloc din Sectorul 3, aflat lângă fosta platformă pentru reparații a întreprinderii Utilaj Transport București (UTBT).
Și în apartamentul său au domiciliu alte 20 de persoane, nu doar din Republica Moldova, ci și din România.
Conform datelor hartablocuri.ro, o platformă care prezintă date concrete despre toate clădirile din București, în special despre riscul seismic, blocurile au fost ridicate, inițial, în același scop: „cămin de nefamiliști” cu 103 camere, cu băi și bucătării comune. Ambele datează din anii 1968-1978.
Ce am găsit acolo?
„Face buletine”
Reporterii Snoop și Buletin de București au fost la cele două adrese. În prima, în apartamentul din adresa lui Sturzu, deschide un vârstnic care locuiește în condiții grele, insalubre. O ușă îngălbenită, firavă și învechită, pe un hol neprimitor cu miros de igrasie.
Bărbatul neagă că ar fi auzit de Sturzu, spune că este o greșeală și că el stă în acel loc de multă vreme.
Dincolo, la capăt de oraș, un bloc de patru etaje în care ar fi trebuit să locuiască Ana Dumitru, conform adresei din buletin. În fața apartamentului indicat, care reprezenta în fapt trei apartamente comasate, sunt înșirate rufe la uscat chiar pe hol.
Dacă un vecin spune că nu are habar cine locuiește acolo, un altul îl identifică ușor pe proprietar. „Face buletine”, șoptește acesta, indicând că este acasă, dar nu va răspunde.
Sunăm. Nu răspunde.
Zeci, sute sau chiar mii de persoane cu domiciliul trecut la aceeași adresă este o practică prin care aceste persoane puteau primi rezidența într-un oraș anume. Din 2023, o nouă lege spune că cel mult zece persoane, care nu sunt rude, pot fi înregistrate într-un singur apartament.
Noul acționar, un bărbat dintr-o comună din Prahova
La sfârșitul lui 2024, când firmei i se cere intrarea în insolvență de către două companii diferite, Sturzu dispare din acționariat.
Conform termene.ro, firma ajunge pe numele unui bărbat din comuna Telega, Prahova, pe nume Marius Drăgușin. În vârstă de 38 ani, acesta preia, tot în 2024, și alte 5 companii (Luis Construct Impex, Udr Expert Andy, Ideal Invest Serv, WDP Construct, Golden Star Society Design).
Drăgușin nu este recunoscut drept un afacerist în comuna prahoveană. Acum câțiva ani, a dispărut de acasă, fapt anunțat în presa locală.
Pe rețelele sociale are multiple conturi în care rotește aceleași fotografii.
„Amenzi pe numele lui la Primărie”
Sunăm la numărul de telefon mobil pe care XKR Tools îl are înregistrat în contractul SEAP, însă la el răspunde doar robotul.
Buletin de București și Snoop sună și la telefoanele firmelor unde Sturzu a fost în acționariat, cu același rezultat: la momentul documentării, numerele sunt fie blocate, fie sunt „nealocate”.
Nici numărul de la Registrul Comerțului al XKR, unul diferit, nu mai este valabil.
Contactați pe e-mailul din contractul cu Primăria Sector 5, cei de la XKR nu au oferit vreun răspuns.
Marius Drăgușin, noul patron, are telefonul mobil trecut pe Facebook, unde se descrie ca barman. Acesta nu sună. Contactați de Snoop, oameni din Telega vin cu aceeași variantă: o persoană cu probleme, fără venituri și un stil de viață nomad, „care stă prin gări, plecat de acasă, București, Iași, cu multe vicii”. Un om care nu ar avea cum să preia „șase afaceri într-un an”.
Primarul Costel Brezeanu spune că, uneori, nici tatăl său nu știe unde este.
„La Primărie se adună foarte multe amenzi pe numele lui, venite din toată țara”, afirmă Brezeanu.
Drăgușin a beneficiat, în trecut, de ajutor de la Primărie ca fiind o persoană fără venit.
În ciuda eforturilor reporterilor de a-i găsi pe Ana Dumitru și Marius Florin Sturzu, aceștia nu au fost identificați și nici nu au răspuns solicitărilor.
Recent, firmei XKR Tools i s-a cerut, la Judecătoria Sector 2, intrarea în insolvență de către o altă companie.
Firmele-surori, tot „fantome” (click pentru detalii)
În afară de XKR Tools, la adresele foștilor acționari a fost fondată și XKR CNC Tools. La fel ca prima, compania a fost cumpărată (în 2023) și i s-a schimbat numele.
Administratorul și unicul acționar al firmei XKR CNC Tools, Cristina Bolmadir, este din Tecuci, la fel ca Ana Dumitru.
Al doilea administrator este Nadia Bulgariu, care are adresa în același apartament cu Ana Dumitru.
La fel ca XKR CNC Tools, Nadia Bulgariu cumpără și o altă firmă – fondată de aceeași persoană – și o redenumește în Enoh CNC Tools.
Acum, Enoh CNC Tools e deținută de o altă persoană denumită Sturzu, Bogdan Sturzu, care locuiește la aceeași adresă cu Marius-Florin Sturzu.
Contactați de Snoop, cei din familia Bulgariu au declarat că „nu cunosc” niciun alt nume din celelalte firme, nici din cea vândută către Sturzu, argumentând că de firme se ocupă „juristul” firmei. Nu au vrut să ofere contactul „juristului”.
Ce spun specialiștii
Bogdan Manolea este consultant juridic interesat de dreptul tehnologiei informațiilor și director executiv al Asociației pentru Tehnologie și Internet – ApTI. El spune că situația descoperită de reporterii Snoop și Buletin de București nu ar fi un caz izolat.
„Este foarte complicat pentru o instituție publică să respecte standardul industriei, pentru că vedem în practică câte breșe și câte probleme sunt. Fie că nu au buget, fie ca sunt limitări. Și de unde se taie din bani? De unde nu pare că doare. Aici trebuie în primul rând respectată legislația din domeniul achizițiilor publice, fie că vorbim de încredințare directă, fie că vorbim de licitație”, spune el.
„O firmă serioasă trebuie să aibă expertiză în domeniu, cu firme și instituții mari auditate în trecut, dacă face parte dintr-un corp de specialiști. E ceva ce intră sub incidența Directoratul Național de Securitate Cibernetică” – Bogdan Manolea, Director executiv al Asociației pentru Tehnologie și Internet – ApTI.
Securitate cibernetică vs. GDPR
Dincolo de auditul de siguranță propriu-zis de la Primăria Sectorului 5, mai există componenta datelor persoanele care, în cele din urmă, au fost furate de hackeri. Din acest punct situația devine mult mai complexă.
„Pe de o parte sunt atribuțiile pe care le are firma respectivă sau instituția respectivă pe legislația privind securitate cibernetică, unde poate să fie niște sancțiuni și pe de altă parte e componenta privind datele personale ca urmare a unui incident de securitate cibernetică. Din păcate, pe ultimul subiect există o excepție prevăzută doar în legea română, nu și în regulamentul european, prin care practic firma riscă doar un avertisment din partea autorității și un plan de remediere, fără amendă. Și atunci tot sectorul public ajunge să fie foarte puțin interesat de aspectele legate de securitatea informațiilor”, subliniază Bogdan Manolea.
Specialistul în cybersecurity Bogdan Albei, de la stop-ransomware.ro, este cel care a descoperit pe dark web scurgerea de informații de la Primăria Sectorului 5 și a semnalat public incidentul.
„Auditurile de genul acesta se fac doar pe hârtie. Depinde de abordarea auditorului, depinde și care e scopul auditului. Auditorul are clar acolo acces la credențiale, la echipamente, la infrastructură. Dacă nu știi ce faci acolo și te joci cu datele respective, sigur că poți să pui instituția sau compania respectivă în pericol.
Sunt foarte mulți factori, poate fi și vina celor care au cerut realizarea auditului, că nu s-au asigurat că după audit s-au tăiat porturile respective sau s-au resetat parolele”, explică Bogdan Albei.
Ce a spus DNSC
Întrebați de Buletin de București în 2024 despre atacul de la Primăria Sector 5, reprezentanții Directoratului Național pentru Securitate Cibernetică (DNSC) au admis că au fost anunțați imediat de Primărie despre atac și au oferit asistență.
„Atacul cibernetic a fost unul de tip ransomware. DNSC a pregătit și transmis către Primăria Sectorului 5 un raport tehnic privind atacul cibernetic”, a spus DNSC.
Aceștia au transmis o serie de măsuri care pot fi luate de autoritățile locale pentru prevenirea atacurilor, cum ar fi copii de siguranță (backup), utilizarea de setări firewall asigurate la zi, instalarea unor antiviruși actualizați, parole lungi și sigure și evitarea folosirii de programe de acces și control la distanță.
Listă e disponibilă pe site-ul directoratului.
„Nicio organizație, indiferent de domeniu, nu poate fi considerată suficient de securizată în contextul evoluției riscurilor și amenințărilor cibernetice actuale” – răspuns DNSC
Mentenanța site-urilor, făcută de soacra purtătoarei de cuvânt
Site-urile Primăriei Sector 5 au fost atacate pe 26 octombrie 2024. Primăria Sector 5, prin deja vechiul primar Cristian Popescu Piedone, a declarat că nu va plăti răscumpărarea cerută, 5 milioane de dolari.
„Nu voi ceda în faţa unor astfel de atacuri şi nu voi plăti suma cerută de teroriştii cibernetici”, a scris el pe Facebook, citat de HotNews.ro.
La începutul lunii noiembrie, Buletin de București a arătat că hackerii au pus deja la vânzare datele celor 200.000 locuitori și au oferit mostre, care conțineau inclusiv CNP-ul viceprimarului Horațiu Nicolaidis.
Apoi, jurnaliștii BdB au prezentat cum s-au desfășurat negocierile eșuate.
Pe 15 noiembrie, aceeași sursă a arătat cum mentenanța site-urilor Primăriei era ținută, din 2022, de firma soacrei purtătoarei de cuvânt a PS5, Alexandra Samoilă (Georgescu).
Snoop și BdB au trimis o serie de întrebări pe e-mailul Primăriei Sector 5, după ce Alexandra Samoilă a invocat că este în concediu și are nevoie de timp pentru răspuns.
Fostul primar Cristian Popescu Piedone, actual șef la ANPC, nu a putut fi contactat.
Editor: Iulia Roșu
Colaj foto: Ion Mateș
Fotografii colaj: Octav Ganea / Inquam Photos