În interiorul atacului cibernetic asupra ANCPI: interviu cu ByteToBreach

Agenția Națională de Cadastru și Publicitate Imobiliară (ANCPI) este paralizată de marți, 14 iulie 2026, în ceea ce instituția descrie drept cea mai gravă întrerupere tehnică din istoria sa. Toate sistemele operate de ANCPI — inclusiv platforma de cadastru și carte funciară e-Terra și infrastructura proprie de e-mail — au fost scoase din funcțiune, lăsând notarii în imposibilitatea de a autentifica tranzacții imobiliare, iar cetățenii fără posibilitatea de a obține extrase de carte funciară, nici online, nici la ghișeu.

Inițial, ANCPI a descris incidentul drept un „incident tehnic major”, pentru ca a doua zi să confirme că, de fapt, este vorba despre un atac cibernetic. Instituția susține că datele pe care le administrează sunt în siguranță și nu au fost compromise, precizând că circumstanțele atacului sunt investigate de instituțiile competente ale statului. ANCPI a estimat inițial că e-Terra va rămâne indisponibilă până la finalul acelei săptămâni.

Tabloul a devenit între timp mai neclar. Publicația HotNews a relatat că autoritățile investighează o posibilă cerere de răscumpărare legată de incident și că întreruperea ar fi putut să se contureze de mai mult timp decât s-a recunoscut public. Separat, site-ul Arena IT
a relatat că presupusul atacator a susținut — fără confirmare din partea ANCPI — că ar fi exfiltrat date interne și cod sursă. Aceeași perioadă a adus și alte incidente cibernetice conexe în România, printre care unul care a afectat platforma de plăți Ghișeul.ro și un
incident separat, distinct, la Ministerul Investițiilor și Proiectelor Europene.

Pe acest fond, SecurityPatch.ro a contactat direct persoana care își asumă responsabilitatea pentru atacul asupra ANCPI, sub pseudonimul ByteToBreach. Mai jos este transcrierea, ușor editată, a acelui interviu scris, realizat printr-o aplicație de mesagerie și acordat cu condiția anonimatului total.

Interviul

SecurityPatch.ro: Poți să-mi povestești cum ai obținut acces la infrastructura ANCPI? Ce vulnerabilitate sau configurare greșită a făcut posibil acest lucru?

ByteToBreach: Punctul de intrare a fost o vulnerabilitate simplă, eram extrem de surprins că mai există, cu atât mai puțin pe o infrastructură guvernamentală. Restul a însemnat pur și simplu pivotare și găsirea unor vulnerabilități și configurări greșite. Rețeaua ANCPI este uriașă, cu multe subrețele.

SecurityPatch.ro: Poți fi mai specific în privința vulnerabilității? Este una cunoscută pe scară largă sau ceva personalizat pentru acest caz?

ByteToBreach: Nu a fost implicat niciun 0day sau ceva sofisticat.

SecurityPatch.ro: Ai modificat, alterat sau șters vreo înregistrare din sistem, sau activitatea ta s-a limitat la acces și exfiltrare? Acest lucru contează foarte mult, având în vedere că sistemul compromis de carte funciară poate afecta dreptul de proprietate legal al cetățenilor.

ByteToBreach: Datele au fost copiate din surse diverse din rețea. Nu s-a făcut nicio modificare, cu excepția celei de criptare. Multe fișiere au fost criptate, dar bazele de date principale nu au fost criptate, ci doar exfiltrate.

Întrebat direct dacă atacul a avut vreo motivație politică sau o legătură cu un grup statal, acesta a fost tranșant:
ByteToBreach: Nu este nimic politic aici, și nu a fost făcut de „ruși”. Sper că explicația mea a fost clară.

SecurityPatch.ro: Ce te-a condus către această instituție? A fost o țintă deliberată sau mai degrabă o oportunitate pe care ai întâlnit-o căutând în altă parte?

ByteToBreach: Nu era la fel de securizată pe cât ar fi trebuit să fie, având în vedere rolul ei vital. Ceea ce atrage atacurile este slăbiciunea, ca să spun pe șleau.

SecurityPatch.ro: Ai contactat ANCPI înainte ca acest lucru să devină public? A existat vreo negociere sau discuție despre o răscumpărare?

ByteToBreach: Ransomware-ul meu lasă o mică notă de răscumpărare, dar nu insist prea mult și nu îi forțez.

SecurityPatch.ro: Acționezi independent sau acest lucru este legat de un grup sau colectiv mai larg?

ByteToBreach: Sunt prea bătrân ca să mai fac parte din grupuri 🙂 Am început acum 16 ani să îmi petrec cea mai mare parte a timpului analizând malware sau făcând exerciții pe HackTheBox.

SecurityPatch.ro: Ai vreo așteptare financiară legată de acest atac, având în vedere că ținta a fost o instituție publică?

ByteToBreach: Da. Pot oferi asistență pentru decriptarea fișierelor, cu condiția ca ANCPI să-mi dea un salariu.

SecurityPatch.ro: Am înțeles — deci dacă ANCPI cere ajutor pentru a restaura fișierele, vei oferi cunoștințele sau instrumentele necesare? Și ce sumă consideri potrivită?

ByteToBreach: Da, acesta este obiectivul principal. Asta se poate negocia cu reprezentanții ANCPI.

SecurityPatch.ro: Cum te raportezi la impactul acțiunilor tale asupra oamenilor ale căror înregistrări de proprietate sunt păstrate în acest sistem?

ByteToBreach: Este foarte nefericit. Și regret și poziția în care sunt puși angajații IT din cauza acțiunilor mele. Dar responsabilitatea este împărțită și de guvern.

SecurityPatch.ro: Unde vezi că se îndreaptă acest drum pentru tine, personal — continui acest tip de activitate, te îndrepți către cercetare de securitate legitimă (bug bounty, pentesting) sau altceva cu totul?

ByteToBreach: Voi continua să fac asta, atâta timp cât sunt pasionat de securitate cibernetică.

SecurityPatch.ro: Ce părere ai despre riscul de a fi identificat, mai ales acum că ești în centrul atenției?

ByteToBreach: Sunt foarte rapid și să sperăm că nu se va ajunge acolo 🙂

SecurityPatch.ro: Având în vedere că acest interviu va fi publicat, ai vreun mesaj pe care vrei să-l transmiți cuiva?

ByteToBreach: Stay true to Jesus. ❤️ A fost o plăcere să discut cu tine.

Discuția s-a încheiat aici, ByteToBreach adăugând o ultimă remarcă: rămâne „mereu deschis discuțiilor, în limita abilităților și a cunoștințelor mele limitate.

Concluzie

Dincolo de tonul lejer, relatarea lui ByteToBreach se aliniază unui tipar din păcate familiar în breșele de infrastructură critică: nu o operațiune sofisticată sprijinită de un stat, ci o vulnerabilitate veche, documentată public, într-o rețea guvernamentală vastă. Dacă e
adevărat, acest detaliu ridică singur întrebări serioase pentru ANCPI cu privire la practicile de gestionare a patch-urilor și de segmentare a rețelei, care depășesc cu mult acest incident singular.

Rămâne un gol familiar și tulburător: o instituție publică responsabilă de proprietățile imobiliare din România, indisponibilizată de o vulnerabilitate cunoscută. Până când ANCPI și autoritățile române de securitate cibernetică vor publica un raport complet post-incident, întrebări precum amploarea reală a pagubelor și dacă se va plăti vreo răscumpărare rămân deschise.

Ultimele articole

Articole similare