Analiză actualizată la 17 iulie 2026

Breșa pare să fi deschis
aproape toată infrastructura ANCPI.

Capturile atribuite atacatorului formează un traseu coerent: serviciul de autentificare, directorul de utilizatori, serverele de aplicații, GitLab, monitorizarea, infrastructura virtuală, copiile de siguranță și Active Directory. Asta susține puternic accesul extins. Nu dovedește încă furtul întregii baze cadastrale.

Cum citim probele

Analiza separă trei lucruri: ce a confirmat instituția, ce arată capturile dacă sunt autentice și ce pretinde atacatorul fără probă suficientă. Datele personale, parolele, IP-urile și numele conturilor au fost eliminate din imaginile reproduse aici.

Ce susțin probele

Ce este probabil să fi ajuns la atacator

Nu toate afirmațiile au aceeași greutate. Mai jos, „probabil” înseamnă că mai multe capturi distincte se susțin reciproc și se potrivesc cu întreruperea confirmată public.

Încredere ridicată

Codul sursă al e‑Terra și al serviciilor conexe

Capturile arată acces la și o structură amplă de proiecte pentru plăți, securitate, , validare, și componente . Detaliile tehnice susțin autenticitatea capturii mai bine decât o simplă listă de fișiere.

Încredere ridicată

Date de autentificare, configurații și harta infrastructurii

, , un , , și dezvăluie servere, sedii județene, relații de încredere și conturi privilegiate. Unele capturi arată parole stocate reversibil sau direct în clar.

Încredere mediu-ridicată

Un director masiv de utilizatori

pare interogat direct și returnează nume, adrese de e-mail și câmpuri de parolă criptate. Atacatorul scrie „aproximativ 2 milioane”; captura susține existența și accesul la director, nu verifică singură numărul total.

Încredere medie

Copii de mașini virtuale și backup-uri

Capturile indică acces administrativ la și , navigarea datastore-urilor și operațiuni de ștergere a backup-urilor. Acest nivel de control face exfiltrarea unor servere întregi plauzibilă, dar nu vedem dovada transferului complet.

Plauzibil, încă nedemonstrat complet

Date cadastrale și documente din e‑Terra

Dacă atacatorul a copiat baze de date, discuri virtuale ori backup-uri, acestea pot conține proprietari, identificatori de imobile, înscrieri de carte funciară, sarcini, planuri, documente depuse și istoricul cererilor. Capturile publice demonstrează capacitatea de a ajunge la aceste sisteme; nu arată încă un export complet al celor aproape 29 de milioane de imobile.

De ce capturile par coerente

Capturile descriu un traseu prin infrastructură.

Fiecare etapă explică accesul la următoarea. Acest lucru nu autentifică automat imaginile, dar este mai greu de fabricat convingător decât o singură captură spectaculoasă.

Intrare


Un serviciu de identitate vechi apare compromis, oferind execuție pe server.

Identități

/
Directorul returnează conturi și câmpuri de parolă; o cheie pare să permită decriptarea unor secrete.

Pivotare

/
Serverele interne de aplicații oferă alte puncte de execuție și acces către rețeaua internă.

Cunoaștere

/ /
Codul explică aplicațiile; monitorizarea explică topologia și unde se află țintele valoroase.

Control

/
Virtualizarea și backup-ul sunt punctele din care pot fi copiate, oprite, criptate sau șterse sisteme întregi.

Domeniu


Captura arată enumerarea administratorilor și a relațiilor de privilegiu, dar atacatorul însuși spune că nu a finalizat preluarea completă.

Atlasul probelor

Ce arată fiecare familie de capturi

Imaginile sunt reproduse doar în versiuni puternic redactate. Explicația păstrează valoarea publică a probei fără a republica parole, conturi sau date personale.

Captură redactată reprezentând accesul inițial printr-un serviciu de identitate
01

Punctul de intrare pare real și datat înaintea căderii

Captura arată un shell pe un server OpenAM și o succesiune temporală din 10 iulie. Un shell nu înseamnă automat acces la toate datele, dar oferă un punct intern din care poate începe mișcarea laterală.

Susține
compromiterea inițială și persistența
Nu dovedește
exfiltrarea bazei cadastrale
Captură redactată reprezentând directorul de utilizatori OpenDJ
02

Directorul de identități pare interogat direct

Sunt vizibile înregistrări LDAP cu nume, e-mail și câmpuri de parolă. Într-un panou separat, atacatorul pare să testeze cheia folosită pentru decriptarea unor secrete. Afirmația „două milioane” rămâne o estimare a lui.

Susține
furtul sau accesul la date de cont
Nu dovedește
că toate parolele au fost recuperate
Captură redactată reprezentând proiecte de cod sursă ANCPI
03

Structura codului se potrivește unei platforme instituționale reale

Arborele de proiecte include componente e‑Terra, plăți, rapoarte, securitate, autentificare unică, API-uri, validare și GIS. Numele de pachete Java folosesc domeniul ANCPI. Împreună, aceste detalii fac revendicarea GitLab foarte credibilă.

Susține
copierea codului și a istoricului de dezvoltare
Risc secundar
secrete în configurații sau commit-uri vechi
Captură redactată reprezentând vSphere și Veeam
04

Accesul la Veeam și vSphere ridică gravitatea incidentului

Accesul la backup și virtualizare nu oferă doar fișiere. Poate oferi discurile întregi ale serverelor, snapshot-uri, baze de date oprite într-o stare consistentă și capacitatea de a șterge mecanismele de recuperare. Capturile arată și operațiuni de ștergere a unor copii.

Susține
control administrativ și impact distructiv
Nu dovedește
câte mașini au fost copiate efectiv
Captură redactată reprezentând structura Active Directory
05

Active Directory a fost cartografiat, dar preluarea totală nu este arătată

BloodHound pare să fi colectat administratorii domeniului și mii de relații de control. Atacatorul afirmă însă că nu a avut timp să obțină administrarea completă și descrie doar ce ar mai fi putut face cu snapshot-ul unui controler de domeniu.

Susține
enumerarea privilegiilor și pregătirea escaladării
Limita probei
nu vedem control de domeniu finalizat
Două capturi publicate de atacator

Accesul pare să se fi propagat ușor între sedii și sisteme.

OCPI · județ Aadministrator[aceeași parolă]
OCPI · județ Badministrator[aceeași parolă]
OCPI · județ Cadministrator[aceeași parolă]

Aceleași date de acces, repetate între oficii

Una dintre capturile atribuite atacatorului pare să arate mai multe echipamente asociate unor OCPI-uri județene folosind același cont și aceeași parolă banală. Dacă imaginea este autentică, compromiterea acelui cont poate deschide multe sedii deodată.

platformă virtualăadministrator privilegiat[parolă umană slabă]
aplicațiimașini virtualebackup

Un cont privilegiat protejat de o parolă derivată dintr-un nume

O altă captură atribuită atacatorului pare să arate datele de autentificare ale unui cont administrativ vSphere. Acesta este „panoul electric” al centrului de date: o parolă slabă aici poate transforma o breșă locală într-o oprire națională.

Ce pare să fi cedat

Șase bariere care ar fi trebuit să oprească traseul

Acestea sunt inferențe din capturi, nu concluzii ale unei anchete oficiale. Dar configurația descrisă este exact cea în care o vulnerabilitate devine un dezastru instituțional.

01

Sistem vechi expus

Un serviciu critic de identitate pare accesibil printr-o rută cunoscută de execuție la distanță.

02

Parole comune și slabe

Aceleași date de autentificare par reutilizate între echipamente și sedii, iar un cont privilegiat folosește o parolă ușor de ghicit.

03

Secrete reversibile

Instrumente de administrare par să păstreze parole în clar sau într-o formă care poate fi decriptată din mediul compromis.

04

Segmentare insuficientă

De la autentificare se ajunge aparent la aplicații, dezvoltare, monitorizare, backup și virtualizare.

05

Backup în același domeniu de încredere

Un atacator din rețeaua internă pare să poată administra și șterge chiar copiile folosite pentru recuperare.

06

Control privilegiat fără fricțiune suficientă

Capturile nu arată bariere puternice de tip MFA, seif de parole sau stații administrative izolate în jurul sistemelor-cheie.

Limitele corecte ale concluziei

Ce nu putem spune încă

Nu este demonstrat public

  • că a fost extrasă baza completă a celor aproape 29 de milioane de imobile;
  • că sunt incluse „datele tuturor cetățenilor României”;
  • câte mașini virtuale, backup-uri sau baze de date au fost copiate;
  • dacă parolele surprinse în capturi erau încă active după incident;
  • dacă atacatorul a obținut control complet de Domain Admin.

„Datele administrate prin sistemele informatice gestionate de ANCPI sunt în siguranță și nu au fost compromise.”

ANCPI, comunicat din 15 iulie 2026

Declarația poate însemna că integritatea datelor a fost păstrată — nu neapărat că nu a existat acces sau copiere. Instituția nu a publicat încă definiția folosită pentru „compromise”, indicatorii de exfiltrare analizați ori un raport criminalistic.

Citește comunicatul ↗
Ce ar trebui comunicat public

Opt întrebări la care răspunsul ar clarifica incidentul

  1. 01

    Care a fost data primei intruziuni și cât timp a rămas atacatorul în rețea?

  2. 02

    Ce sisteme au fost accesate: OpenDJ, GitLab, Zabbix, vCenter, Veeam, Active Directory, bazele e‑Terra?

  3. 03

    Există dovezi de transfer extern de date? Ce volum și către ce destinații?

  4. 04

    Au fost descărcate snapshot-uri, discuri virtuale ori backup-uri complete?

  5. 05

    Ce categorii de persoane și date sunt afectate și câte înregistrări sunt implicate?

  6. 06

    Au fost schimbate toate parolele și celelalte date de autentificare, certificatele, cheile API și secretele din istoricul Git?

  7. 07

    Ce backup-uri offline sau imuabile au supraviețuit și de la ce dată se poate reconstrui sigur?

  8. 08

    Va fi publicat un raport independent, inclusiv cauza-rădăcină și măsurile corective?

Cronologia vizibilă

Capturile preced oprirea sistemelor

Captura OpenAM indică obținerea unui shell inițial.

Apar pivotări spre servere de aplicații, GitLab, Zabbix și alte sisteme interne.

Capturile atribuite atacatorului arată vSphere, Veeam, date de autentificare și colectarea datelor Active Directory.

ANCPI oprește sau pierde accesul la toate sistemele gestionate, inclusiv e-mail și e‑Terra.

Instituția confirmă atacul și îl numește cea mai amplă întrerupere tehnică din istoria sa.

Presa relatează că materialul atribuit ANCPI este oferit spre vânzare. HotNews scrie, citând o sursă la curent cu incidentul, că autoritățile verifică o posibilă cerere de răscumpărare. Nici amploarea datelor, nici cererea nu sunt confirmate oficial.

Metodologie

Cum a fost cântărită o probă produsă chiar de atacator

Specificitate tehnică

Nume de produse, structuri de proiect, topologii, hostname-uri și relații de privilegii care se potrivesc între capturi.

Coerență temporală

Activitatea afișată între 10 și 13 iulie precedă căderea generală anunțată la 14 iulie.

Coerență cauzală

Accesul la identități explică accesul la aplicații; monitorizarea indică țintele; virtualizarea și backup-ul explică amploarea opririi.

Coroborare externă

ANCPI confirmă atacul și oprirea tuturor sistemelor. KELA descria deja ByteToBreach drept un actor cu abilități reale, dar orientat spre autopromovare.

Prudență față de revendicări

Numărul de utilizatori, cantitatea exfiltrată și caracterul „complet” al bazelor nu sunt acceptate fără mostre verificabile ori confirmare criminalistică.

Minimizarea prejudiciului

Nu au fost deschise arhivele cu date. Nu sunt republicate linkuri de download, parole, adrese personale, conturi ori detalii care ar facilita accesul.

Surse și statut

Ce este oficial, ce este analiză, ce este revendicare

Oficial

ANCPI — comunicatul din 15 iulie

Confirmă atacul, oprirea tuturor sistemelor, inclusiv e-mail și e‑Terra, și afirmă că datele nu au fost compromise.

ancpi.ro ↗
Oficial

ANCPI — dimensiunea sistemului

Pagina principală raporta 28.977.942 de imobile gestionate la 13 iulie 2026.

ancpi.ro ↗
Analiză externă

KELA — profil ByteToBreach

Descrie un operator cu activitate tehnică reală și revendicări adesea credibile, dar și cu o componentă agresivă de marketing și autopromovare.

kelacyber.com ↗
Relatare

Public Record / HotNews / Help Net Security / Profit.ro

Relatează oferta de vânzare și revendicările privind datele și codul sursă. HotNews adaugă, pe baza unei surse anonime la curent cu incidentul, că autoritățile verifică o posibilă cerere de răscumpărare. Informația nu este o confirmare oficială.

Revendicare ostilă

Setul de capturi atribuit atacatorului

12 imagini privind OpenAM, OpenDJ, WebLogic, WebSphere, GitLab, cod sursă, Zabbix, monitorizare, vSphere, Veeam și Active Directory. Linkurile către arhivele pretins furate nu sunt reproduse.

Notă

Statut la 17 iulie 2026

Noi informații publicate de ANCPI, DNSC, autoritatea pentru protecția datelor sau anchetatori pot schimba această evaluare, mai ales un raport criminalistic ori o notificare oficială privind compromiterea datelor.

Evaluarea finală

Probabil au luat destul încât afirmația „datele nu au fost compromise” să necesite o explicație tehnică, nu doar o reasigurare.

Cea mai prudentă formulare este aceasta: accesul extins la infrastructură, cod, conturi și date de autentificare este puternic susținut; copierea unor date operaționale și a unor servere este plauzibilă; furtul complet al registrului cadastral național nu este încă demonstrat public.