În 2023, Primăria Sectorului 5, condusă la acea vreme de Cristian Popescu Piedone, a încredințat direct un contract de audit informatic firmei XKR Tools, o companie cu un singur angajat, fără experiență în domeniul securității IT și fără contracte anterioare în Sistemul Electronic de Achiziții Publice (SEAP). Mai mult, firma nu figura pe lista auditorilor autorizați de Directoratul Național pentru Securitate Cibernetică (DNSC).
În octombrie 2024, la un an după ce firma a fost angajată pentru auditul securității IT a Primăriei, serverele instituției au fost compromise de hackeri, care au furat datele personale a peste 200.000 de cetățeni. Atacatorii au cerut o răscumpărare de 5 milioane de dolari pentru a nu publica informațiile sensibile.
În ciuda gravității situației, Piedone a declarat public că nu va plăti nicio sumă hackerilor, considerând atacul „un act de terorism cibernetic”.
XKR Tools a fost fondată în 2013, dar până în 2020 a avut cifre de afaceri nesemnificative. În plină pandemie COVID-19, firma a fost cumpărată de Ana Dumitru, o tânără de doar 18 ani, și a început să înregistreze brusc venituri de milioane de lei.
Înainte de contractul cu Primăria Sector 5, XKR Tools nu avea niciun proiect legat de securitatea informatică. Singurul său domeniu de activitate vizibil? Vânzarea de freze din carbură și cuțite pentru strunguri. Mai exact, firma livrase astfel de produse unei societăți din subordinea Primăriei Sectorului 3.
Cu toate acestea, în octombrie 2023, Primăria Sectorului 5 i-a acordat direct un contract în valoare de 130.000 de lei (aproximativ 27.000 de euro) pentru audit IT.
Pe hârtie, XKR Tools era deținută, în momentul semnării contractului cu Primăria Sector 5, de Ana Dumitru și Marius-Florin Sturzu. Amândoi figurau cu domicilii în blocuri de nefamiliști, locuințe cunoscute pentru faptul că găzduiesc zeci de persoane cu reședințe fictive.
- Ana Dumitru era domiciliată într-un apartament unde mai figurau peste 50 de persoane, majoritatea cetățeni moldoveni, ucraineni sau bieloruși.
- Marius-Florin Sturzu avea adresa într-un bloc similar, unde mai erau înregistrați peste 20 de locatari, mulți dintre ei necunoscuți vecinilor.
Jurnaliștii care au vizitat aceste locații au descoperit condiții insalubre și locatari care nu aveau nicio idee despre presupusii acționari ai firmei.
Pe 26 octombrie 2024, hackerii au compromis serverele Primăriei Sectorului 5, exfiltrând datele a peste 200.000 de cetățeni. Informațiile furate includeau:
- Numele complete
- Codurile numerice personale (CNP)
- Adresele de domiciliu
- Datele financiare ale contribuabililor
Hackerii au cerut o răscumpărare de 5 milioane de dolari, dar Primăria a refuzat plata. O săptămână mai târziu, jurnaliștii Buletin de București au descoperit că datele deja fuseseră scoase la vânzare pe Dark Web.
Bogdan Manolea (ApTI):
„O firmă care face audit IT pentru o instituție publică trebuie să fie avizată de stat, să aibă experiență și personal specializat. În acest caz, Primăria Sector 5 a lucrat cu o firmă fantomă, ceea ce a condus la această catastrofă cibernetică.”
Bogdan Albei (Stop-Ransomware.ro):
„Problema este că astfel de audituri sunt făcute doar pe hârtie. Dacă firma contractată nu are expertiză reală, sistemele rămân vulnerabile și devin ținte ușoare pentru hackeri.”
Un alt detaliu controversat descoperit de jurnaliști este că mentenanța site-urilor Primăriei Sector 5 era asigurată de firma soacrei purtătoarei de cuvânt a instituției. Aceasta nu avea experiență în securitate cibernetică și nu a putut preveni atacul.
La finalul anului 2024, când firmei i s-a cerut intrarea în insolvență, Sturzu a dispărut din acționariat. Firma a fost preluată de Marius Drăgușin, un bărbat de 38 de ani din comuna Telega, județul Prahova.
Potrivit primarului localității, Drăgușin este o persoană fără venituri, cunoscută pentru probleme financiare și vicii. Cu toate acestea, în 2024, acesta a preluat nu mai puțin de șase firme, inclusiv XKR Tools.
Cazul XKR Tools ridică semne de întrebare grave despre felul în care Primăria Sector 5 a gestionat securitatea cibernetică a instituției. Contractarea unei firme fantomă, fără expertiză IT, a expus datele personale a 200.000 de români.
Pe lângă asta:
- Firma avea un singur angajat și vindea freze de strung înainte de a primi contractul IT
- Acționarii săi erau persoane fără un trecut în industrie, cu adrese de domiciliu suspecte
- Atacul cibernetic putea fi prevenit dacă auditul IT ar fi fost realizat de o companie serioasă
- Primăria a ascuns detalii despre atac, iar datele furate sunt acum vândute pe Dark Web
