Breșa pare să fi deschis aproape toată infrastructura ANCPI.
Capturile atribuite atacatorului formează un traseu coerent: serviciul de autentificare, directorul de utilizatori, serverele de aplicații, GitLab, monitorizarea, infrastructura virtuală, copiile de siguranță și Active Directory. Asta susține puternic accesul extins. Nu dovedește încă furtul întregii baze cadastrale.
Analiza separă trei lucruri: ce a confirmat instituția, ce arată capturile dacă sunt autentice și ce pretinde atacatorul fără probă suficientă. Datele personale, parolele, IP-urile și numele conturilor au fost eliminate din imaginile reproduse aici.
Ce susțin probele
Ce este probabil să fi ajuns la atacator
Nu toate afirmațiile au aceeași greutate. Mai jos, „probabil” înseamnă că mai multe capturi distincte se susțin reciproc și se potrivesc cu întreruperea confirmată public.
Încredere ridicată
Codul sursă al e‑Terra și al serviciilor conexe
Capturile arată acces la și o structură amplă de proiecte pentru plăți, securitate, , validare, și componente . Detaliile tehnice susțin autenticitatea capturii mai bine decât o simplă listă de fișiere.
Încredere ridicată
Date de autentificare, configurații și harta infrastructurii
, , un , , și dezvăluie servere, sedii județene, relații de încredere și conturi privilegiate. Unele capturi arată parole stocate reversibil sau direct în clar.
Încredere mediu-ridicată
Un director masiv de utilizatori
pare interogat direct și returnează nume, adrese de e-mail și câmpuri de parolă criptate. Atacatorul scrie „aproximativ 2 milioane”; captura susține existența și accesul la director, nu verifică singură numărul total.
Încredere medie
Copii de mașini virtuale și backup-uri
Capturile indică acces administrativ la și , navigarea datastore-urilor și operațiuni de ștergere a backup-urilor. Acest nivel de control face exfiltrarea unor servere întregi plauzibilă, dar nu vedem dovada transferului complet.
Plauzibil, încă nedemonstrat complet
Date cadastrale și documente din e‑Terra
Dacă atacatorul a copiat baze de date, discuri virtuale ori backup-uri, acestea pot conține proprietari, identificatori de imobile, înscrieri de carte funciară, sarcini, planuri, documente depuse și istoricul cererilor. Capturile publice demonstrează capacitatea de a ajunge la aceste sisteme; nu arată încă un export complet al celor aproape 29 de milioane de imobile.
De ce capturile par coerente
Capturile descriu un traseu prin infrastructură.
Fiecare etapă explică accesul la următoarea. Acest lucru nu autentifică automat imaginile, dar este mai greu de fabricat convingător decât o singură captură spectaculoasă.
◎
Intrare
Un serviciu de identitate vechi apare compromis, oferind execuție pe server.
◉
Identități
/ Directorul returnează conturi și câmpuri de parolă; o cheie pare să permită decriptarea unor secrete.
⌁
Pivotare
/ Serverele interne de aplicații oferă alte puncte de execuție și acces către rețeaua internă.
⌘
Cunoaștere
/ / Codul explică aplicațiile; monitorizarea explică topologia și unde se află țintele valoroase.
▦
Control
/ Virtualizarea și backup-ul sunt punctele din care pot fi copiate, oprite, criptate sau șterse sisteme întregi.
◇
Domeniu
Captura arată enumerarea administratorilor și a relațiilor de privilegiu, dar atacatorul însuși spune că nu a finalizat preluarea completă.
Atlasul probelor
Ce arată fiecare familie de capturi
Imaginile sunt reproduse doar în versiuni puternic redactate. Explicația păstrează valoarea publică a probei fără a republica parole, conturi sau date personale.
01
Punctul de intrare pare real și datat înaintea căderii
Captura arată un shell pe un server OpenAM și o succesiune temporală din 10 iulie. Un shell nu înseamnă automat acces la toate datele, dar oferă un punct intern din care poate începe mișcarea laterală.
Susține
compromiterea inițială și persistența
Nu dovedește
exfiltrarea bazei cadastrale
02
Directorul de identități pare interogat direct
Sunt vizibile înregistrări LDAP cu nume, e-mail și câmpuri de parolă. Într-un panou separat, atacatorul pare să testeze cheia folosită pentru decriptarea unor secrete. Afirmația „două milioane” rămâne o estimare a lui.
Susține
furtul sau accesul la date de cont
Nu dovedește
că toate parolele au fost recuperate
03
Structura codului se potrivește unei platforme instituționale reale
Arborele de proiecte include componente e‑Terra, plăți, rapoarte, securitate, autentificare unică, API-uri, validare și GIS. Numele de pachete Java folosesc domeniul ANCPI. Împreună, aceste detalii fac revendicarea GitLab foarte credibilă.
Susține
copierea codului și a istoricului de dezvoltare
Risc secundar
secrete în configurații sau commit-uri vechi
04
Accesul la Veeam și vSphere ridică gravitatea incidentului
Accesul la backup și virtualizare nu oferă doar fișiere. Poate oferi discurile întregi ale serverelor, snapshot-uri, baze de date oprite într-o stare consistentă și capacitatea de a șterge mecanismele de recuperare. Capturile arată și operațiuni de ștergere a unor copii.
Susține
control administrativ și impact distructiv
Nu dovedește
câte mașini au fost copiate efectiv
05
Active Directory a fost cartografiat, dar preluarea totală nu este arătată
BloodHound pare să fi colectat administratorii domeniului și mii de relații de control. Atacatorul afirmă însă că nu a avut timp să obțină administrarea completă și descrie doar ce ar mai fi putut face cu snapshot-ul unui controler de domeniu.
Susține
enumerarea privilegiilor și pregătirea escaladării
Limita probei
nu vedem control de domeniu finalizat
Două capturi publicate de atacator
Accesul pare să se fi propagat ușor între sedii și sisteme.
OCPI · județ Aadministrator[aceeași parolă]
OCPI · județ Badministrator[aceeași parolă]
OCPI · județ Cadministrator[aceeași parolă]
Aceleași date de acces, repetate între oficii
Una dintre capturile atribuite atacatorului pare să arate mai multe echipamente asociate unor OCPI-uri județene folosind același cont și aceeași parolă banală. Dacă imaginea este autentică, compromiterea acelui cont poate deschide multe sedii deodată.
Un cont privilegiat protejat de o parolă derivată dintr-un nume
O altă captură atribuită atacatorului pare să arate datele de autentificare ale unui cont administrativ vSphere. Acesta este „panoul electric” al centrului de date: o parolă slabă aici poate transforma o breșă locală într-o oprire națională.
Ce pare să fi cedat
Șase bariere care ar fi trebuit să oprească traseul
Acestea sunt inferențe din capturi, nu concluzii ale unei anchete oficiale. Dar configurația descrisă este exact cea în care o vulnerabilitate devine un dezastru instituțional.
01
Sistem vechi expus
Un serviciu critic de identitate pare accesibil printr-o rută cunoscută de execuție la distanță.
02
Parole comune și slabe
Aceleași date de autentificare par reutilizate între echipamente și sedii, iar un cont privilegiat folosește o parolă ușor de ghicit.
03
Secrete reversibile
Instrumente de administrare par să păstreze parole în clar sau într-o formă care poate fi decriptată din mediul compromis.
04
Segmentare insuficientă
De la autentificare se ajunge aparent la aplicații, dezvoltare, monitorizare, backup și virtualizare.
05
Backup în același domeniu de încredere
Un atacator din rețeaua internă pare să poată administra și șterge chiar copiile folosite pentru recuperare.
06
Control privilegiat fără fricțiune suficientă
Capturile nu arată bariere puternice de tip MFA, seif de parole sau stații administrative izolate în jurul sistemelor-cheie.
Limitele corecte ale concluziei
Ce nu putem spune încă
Nu este demonstrat public
că a fost extrasă baza completă a celor aproape 29 de milioane de imobile;
că sunt incluse „datele tuturor cetățenilor României”;
câte mașini virtuale, backup-uri sau baze de date au fost copiate;
dacă parolele surprinse în capturi erau încă active după incident;
dacă atacatorul a obținut control complet de Domain Admin.
“
„Datele administrate prin sistemele informatice gestionate de ANCPI sunt în siguranță și nu au fost compromise.”
ANCPI, comunicat din 15 iulie 2026
Declarația poate însemna că integritatea datelor a fost păstrată — nu neapărat că nu a existat acces sau copiere. Instituția nu a publicat încă definiția folosită pentru „compromise”, indicatorii de exfiltrare analizați ori un raport criminalistic.
Opt întrebări la care răspunsul ar clarifica incidentul
01
Care a fost data primei intruziuni și cât timp a rămas atacatorul în rețea?
02
Ce sisteme au fost accesate: OpenDJ, GitLab, Zabbix, vCenter, Veeam, Active Directory, bazele e‑Terra?
03
Există dovezi de transfer extern de date? Ce volum și către ce destinații?
04
Au fost descărcate snapshot-uri, discuri virtuale ori backup-uri complete?
05
Ce categorii de persoane și date sunt afectate și câte înregistrări sunt implicate?
06
Au fost schimbate toate parolele și celelalte date de autentificare, certificatele, cheile API și secretele din istoricul Git?
07
Ce backup-uri offline sau imuabile au supraviețuit și de la ce dată se poate reconstrui sigur?
08
Va fi publicat un raport independent, inclusiv cauza-rădăcină și măsurile corective?
Cronologia vizibilă
Capturile preced oprirea sistemelor
Captura OpenAM indică obținerea unui shell inițial.
Apar pivotări spre servere de aplicații, GitLab, Zabbix și alte sisteme interne.
Capturile atribuite atacatorului arată vSphere, Veeam, date de autentificare și colectarea datelor Active Directory.
ANCPI oprește sau pierde accesul la toate sistemele gestionate, inclusiv e-mail și e‑Terra.
Instituția confirmă atacul și îl numește cea mai amplă întrerupere tehnică din istoria sa.
Presa relatează că materialul atribuit ANCPI este oferit spre vânzare. HotNews scrie, citând o sursă la curent cu incidentul, că autoritățile verifică o posibilă cerere de răscumpărare. Nici amploarea datelor, nici cererea nu sunt confirmate oficial.
Metodologie
Cum a fost cântărită o probă produsă chiar de atacator
Specificitate tehnică
Nume de produse, structuri de proiect, topologii, hostname-uri și relații de privilegii care se potrivesc între capturi.
Coerență temporală
Activitatea afișată între 10 și 13 iulie precedă căderea generală anunțată la 14 iulie.
Coerență cauzală
Accesul la identități explică accesul la aplicații; monitorizarea indică țintele; virtualizarea și backup-ul explică amploarea opririi.
Coroborare externă
ANCPI confirmă atacul și oprirea tuturor sistemelor. KELA descria deja ByteToBreach drept un actor cu abilități reale, dar orientat spre autopromovare.
Prudență față de revendicări
Numărul de utilizatori, cantitatea exfiltrată și caracterul „complet” al bazelor nu sunt acceptate fără mostre verificabile ori confirmare criminalistică.
Minimizarea prejudiciului
Nu au fost deschise arhivele cu date. Nu sunt republicate linkuri de download, parole, adrese personale, conturi ori detalii care ar facilita accesul.
Surse și statut
Ce este oficial, ce este analiză, ce este revendicare
Oficial
ANCPI — comunicatul din 15 iulie
Confirmă atacul, oprirea tuturor sistemelor, inclusiv e-mail și e‑Terra, și afirmă că datele nu au fost compromise.
Public Record / HotNews / Help Net Security / Profit.ro
Relatează oferta de vânzare și revendicările privind datele și codul sursă. HotNews adaugă, pe baza unei surse anonime la curent cu incidentul, că autoritățile verifică o posibilă cerere de răscumpărare. Informația nu este o confirmare oficială.
12 imagini privind OpenAM, OpenDJ, WebLogic, WebSphere, GitLab, cod sursă, Zabbix, monitorizare, vSphere, Veeam și Active Directory. Linkurile către arhivele pretins furate nu sunt reproduse.
Notă
Statut la 17 iulie 2026
Noi informații publicate de ANCPI, DNSC, autoritatea pentru protecția datelor sau anchetatori pot schimba această evaluare, mai ales un raport criminalistic ori o notificare oficială privind compromiterea datelor.
Evaluarea finală
Probabil au luat destul încât afirmația „datele nu au fost compromise” să necesite o explicație tehnică, nu doar o reasigurare.
Cea mai prudentă formulare este aceasta: accesul extins la infrastructură, cod, conturi și date de autentificare este puternic susținut; copierea unor date operaționale și a unor servere este plauzibilă; furtul complet al registrului cadastral național nu este încă demonstrat public.