Pe 24 martie 2026, Comisia Europeană a descoperit un atac cibernetic care a compromis infrastructura cloud folosită pentru platforma Europa.eu, portalul central al instituției. Câteva zile mai târziu, grupul de criminalitate cibernetică ShinyHunters a revendicat furtul a peste 350 GB de date, publicând o parte din ele pe dark web.
Este al doilea incident major de securitate la nivelul Comisiei Europene în primele trei luni ale anului 2026 și un semnal de alarmă direct pentru toate organizațiile care gestionează date sensibile în infrastructuri cloud, inclusiv instituțiile publice din România.
Ce s-a întâmplat: vectorul de atac
Conform comunicatelor oficiale și rapoartelor din presa internațională de specialitate, atacul a vizat cel puțin un cont Amazon Web Services (AWS) prin exploatarea a două vulnerabilități critice zero-day în software-ul Ivanti Endpoint Manager Mobile, identificate ca CVE-2026-1281 și CVE-2026-1340, ambele cu scor CVSS 9.8, cel mai ridicat nivel de severitate.
Aceleași vulnerabilități Ivanti au fost exploatate în atacuri similare asupra Autorității Olandeze pentru Protecția Datelor, a Consiliului Judiciar din Țările de Jos și a furnizorului IT guvernamental Valtori din Finlanda, unde au fost afectate datele a până la 50.000 de angajați guvernamentali. Cercetătorii de securitate au identificat indicii că atacurile fac parte dintr-o campanie coordonată, posibil legată de un actor statal din zona Asia-Pacific.
Cine este ShinyHunters
ShinyHunters este un grup de criminalitate cibernetică cu activitate documentată de mai mulți ani, cunoscut inițial pentru furtul clasic de baze de date. În 2026, grupul a format o alianță cu alte entități de criminalitate cibernetică și și-a extins operațiunile de la furtul de baze de date la compromiterea sistematică a infrastructurilor cloud enterprise, vizând platforme ca Okta, Salesforce, AWS și SharePoint.
Doar în primele două luni ale anului 2026, ShinyHunters a fost legat de breșe la peste 15 organizații, cu peste 50 de milioane de înregistrări furate. Atacul asupra Comisiei Europene reprezintă un salt calitativ față de țintele comerciale anterioare, marchând trecerea la instituții guvernamentale de prim rang.
Ce date au fost afectate
Primul incident din 2026 la nivelul Comisiei Europene, produs anterior lunii martie, a permis accesul la nume și numere de telefon ale angajaților, prin exploatarea acelorași vulnerabilități Ivanti. Incidentul din martie a vizat infrastructura cloud mai largă. Investigațiile erau în curs la momentul publicării acestui articol, iar amploarea completă a datelor exfiltrate nu a fost confirmată oficial.
Contextul mai larg: Europa pierde în fața atacatorilor
UE nu a stat fără reacție în fața amenințărilor cibernetice. Directiva NIS2, adoptată în 2022 și cu termen de transpunere în octombrie 2024, a extins semnificativ sectoarele și entitățile care trebuie să respecte standarde de securitate cibernetică, inclusiv administrația publică. Au fost introduse și Cyber Solidarity Act și un pachet de securitate cibernetică propus în ianuarie 2026.
Cu toate acestea, responsabilul UE pentru securitate cibernetică a recunoscut public că Europa pierde în fața atacatorilor. Ironia situației este evidentă: instituția care elaborează regulile de securitate cibernetică pentru întreaga Uniune se dovedește ea însăși vulnerabilă, nu o dată, ci de două ori în același trimestru.
Ce înseamnă pentru instituțiile din România
România a transpus Directiva NIS2 prin OUG nr. 155/2024. Dar transpunerea legislativă nu echivalează automat cu implementarea tehnică. Incidentul de la Comisia Europeană ilustrează că nici cel mai mare și mai bine finanțat organism executiv al UE nu este imun la atacuri sofisticate.
Primăriile, consiliile județene, spitalele, universitățile și orice altă entitate care gestionează date ale cetățenilor trebuie să trateze securitatea cibernetică ca o prioritate operațională, nu ca o cerință de conformitate bifată. Câteva vulnerabilități frecvente în instituțiile publice românești:
- Software neactualizat, inclusiv sisteme de operare și aplicații cu vulnerabilități cunoscute.
- Lipsa autentificării multi-factor pentru accesul la sistemele critice.
- Absența monitorizării continue a infrastructurii pentru activitate anormală.
- Backup-uri incomplete sau netestare regulată a procedurilor de recuperare.
- Personal insuficient instruit pentru recunoașterea atacurilor de tip phishing și social engineering.
Lecții din atacul asupra Comisiei Europene
Câteva concluzii practice pentru orice organizație:
- Vulnerabilitățile zero-day nu pot fi prevenite, dar pot fi limitate. Segmentarea rețelei reduce impactul unui cont compromis. Chiar dacă atacatorul intră prin un cont AWS, accesul la restul infrastructurii trebuie să necesite autentificări separate.
- Furnizorii de software terți sunt un vector de atac. Ivanti Endpoint Manager Mobile era un produs de la un furnizor extern. Gestionarea riscurilor din lanțul de aprovizionare software necesită politici clare de evaluare și monitorizare a furnizorilor.
- Detecția rapidă face diferența. Cu cât o breșă este detectată mai repede, cu atât mai puține date sunt exfiltrate. Investiția în monitorizare și sisteme de detecție a anomaliilor este justificată.
Concluzie
Atacul cibernetic asupra Comisiei Europene din martie 2026 nu este o știre îndepărtată. Este o demonstrație că nici cele mai protejate instituții nu sunt invulnerabile și că grupuri ca ShinyHunters și-au extins ambițiile de la organizații comerciale la instituții de stat de prim rang.
Dacă administrați infrastructura digitală a unei organizații din România și doriți să evaluați nivelul actual de securitate, consultați articolul nostru despre securizarea website-urilor WordPress sau atacurile recente asupra WordPress mu-plugins. Pentru o evaluare mai largă a securității online, contactați echipa GOAI.
Comments (0)