Sărbătorile vin cu luminițe, vacanțe și relaxare, iar pentru atacatorii cibernetici vin cu oportunități. Într-un nou episod al podcastului ZONA, Dan Cadar a stat de vorbă cu Mădălin Dumitru, CEO SCUT, despre motivele care fac din perioada sărbătorilor de iarnă un sezon de vârf pentru fraude online, ce se întâmplă când companiile sunt atacate și de ce securitatea cibernetică nu mai este „just nice-to-have”.
SCUT este o companie românească de securitate cibernetică, activă în zona de prevenție și răspuns la incidente, cu experiență în protejarea infrastructurilor critice și a mediilor enterprise.
Discuția începe cu o poveste reală: acum, de Crăciun, un amic de-ai lui Dan a primit pe WhatsApp o cerere de plată pentru o cazare pe care deja o achitase. Cum funcționează metoda, potrivit lui Mădălin? Atacatorii compromit sistemele pensiunii sau hotelului unde e făcută rezervarea, pentru că cele ale platformelor mari sunt mai sigure și mai greu de spart, și contactează victimele (clienții) cu mesaje care par legitime, folosind detalii reale despre rezervare.
„Hackerii lucrează pe alt fus orar”, explică Mădălin Dumitru. În perioada sărbătorilor, când companiile sunt în vacanță și echipele de securitate funcționează la capacitate redusă, atacatorii profită de vulnerabilități. Presiunea timpului („oferta expiră în 2 ore”), emoția sărbătorilor și dorința de a rezolva rapid problemele transformă oamenii în ținte perfecte.
Impactul atacurilor cibernetice, dincolo de cifre
Cât costă de fapt un atac cibernetic? CEO-ul SCUT explică prin prisma triadei CIA, care înseamnă confidențialitate, integritate și disponibilitate. Costurile directe (măsurabile) includ răscumpărarea, restaurarea datelor din backup și pierderile din perioada în care afacerea nu funcționează.
La acestea se adaugă impactul reputațional, pierderile la bursă și impactul psihologic asupra oamenilor. Mădălin spune că executivii și proprietarii de business sunt profund afectați de aceste incidente. Un singur atac cibernetic reușit ar putea acoperi bugetul de securitate al companiei pentru următorii 15 ani. Chiar și în aceste condiții, oamenii de securitate din departamentele IT ale companiilor se luptă să convingă conducerea de necesitatea bugetelor pentru cybersecurity.
100% pregătit, nu 100% securizat
„Niciodată nu poți fi 100% securizat, dar poți să fii 100% pregătit să intervii în cazul unui atac cibernetic”, este unul din mesajele importante ale lui Mădălin Dumitru. Securitatea trebuie să fie proactivă. Comparația cu armata este clară, adică nu trebuie să aștepți să înceapă războiul ca să te pregătești.
Cât despre responsabilitate în cazul țepelor din turism, aceasta se împarte între cel care a plătit, compania care a fost hackuită și platforma de rezervări, pentru că fiecare are o parte din vină. Iar pentru ofertele „prea bune ca să fie adevărate” de pe site-uri obscure, modelul de reacție al CEO-ului SCUT e simplu: ascultă-ți instinctul, pune-ți întrebări, folosește AI ca prim filtru. Semnele de alarmă includ prețul suspect de mic, presiunea pe timp, lipsa conexiunii criptate și absența unei adrese fizice a magazinului.
2025, anul „marilor atacuri”. România în vizor
Retrospectiva anului 2025 prezentată de Mădălin Dumitru nu e deloc încurajatoare. În ianuarie-februarie, Episource a suferit o breșă care a expus 1,2 milioane de înregistrări ale pacienților, iar Coinbase a fost atacată prin intermediul unui subcontractor, aproape 70.000 de utilizatori fiind afectați.
Primăvara a adus atacul asupra Co-op, unde gruparea Scattered Spider a furat datele a 6,5 milioane de utilizatori, recuperarea durând săptămâni. În mai, retailerul M&S a fost atacat cu ransomware DragonForce, tot de Scattered Spider. Iunie a văzut un șir de victime: United Natural Foods, NorthFace, Cartier, WestJet, The Washington Post, toate având date valoroase care puteau fi monetizate pe darkweb.
Iulie a adus exploatarea SharePoint atribuită Chinei, care a afectat infrastructuri critice din SUA și Singapore. Perioada august-septembrie a fost marcată de atacuri în lanțul de aprovizionare: Jaguar Land Rover și Stellantis prin furnizori, Bridgestone a întrerupt producția, iar gruparea Shiny Hunters a atacat Kering, afectând Gucci, Balenciaga și Alexander McQueen.
În octombrie, SimonMed Imaging a fost ținta unui atac ransomware revendicat de gruparea Medusa, care a cerut o răscumpărare de 1 milion de dolari pentru a nu publica pe darkweb datele a aproximativ 1,2 milioane de pacienți. În aceeași lună, Vietnam Airlines a pierdut datele a 23 de milioane de clienți printr-o vulnerabilitate legată de supply chain. Noiembrie a adus atacul asupra consiliilor londoneze (500.000 de rezidenți fiind afectați), DoorDash a căzut victimă ingineriei sociale, iar Universitatea Pennsylvania a fost și ea atacată.
Nici România nu a fost ferită. În noiembrie 2024, cu o săptămână înainte de alegeri, au fost înregistrate 85.000 de atacuri în doar 7 zile, adică circa 507 atacuri pe oră asupra infrastructurilor. Atacatorii au folosit tehnici sofisticate de SQL injection și cross-site scripting, atacurile venind din 33 de țări.
CVE-2025-55182, vulnerabilitatea level 10
Dialogul a culminat cu vulnerabilitatea momentului, CVE-2025-55182, numită „react to shell”, clasificată cu scorul CVSS 10.0, adică maximul absolut. React, framework-ul care permite dezvoltatorilor să facă site-urile mai dinamice (tehnic vorbind, React e o bibliotecă pentru UI-uri interactive), avea parametri nesanitizați, adică nu filtra datele primite de la utilizatori. Concret, componentele React Server permit aplicațiilor să ruleze părți din logică pe server, nu în browser. Problema? Când serverul primea un HTTP request malițios, nu valida corect structura acestuia, permițând unui atacator să execute comenzi direct pe server, practic un command injection, fără niciun fel de autentificare.
Să „traducem” asta din română în română: completezi un formular într-un site, dar în câmpul nume și email, pui o comandă deghizată care are ca efect ștergerea datelor de pe server sau poate citi fișierul cu utilizatori. Serverul, în loc să verifice ce primește, execută orbește comanda sau comenzile primite. Atacatorul poate astfel să citească fișiere, să instaleze malware sau să preia controlul serverului.
Magnitudinea problemei este uriașă. Cercetătorii de la Wiz (o companie israeliană recent achiziționată de Google) au descoperit că 39% din toate site-urile găzduite în cloud au instanțe de React sau Next.js cu versiuni vulnerabile. Soluția? Upgrade de la React 19.0 la 19.2 și de la Next.js 15 la 16. Dar patching-ul într-un ecosistem JavaScript distribuit e un coșmar pentru că multe companii nici nu au un inventar complet al aplicațiilor Next.js.
Lecțiile și amenințările din 2026 în viziunea SCUT
Prima lecție ar fi că s-a micșorat perioada de la identificarea unei vulnerabilități până la exploatarea ei de către hackeri. Aceștia au ajuns să atace în 48 de ore și nu mai ai timp să faci patching. A doua lecție, când vezi o vulnerabilitate cu un scor CVSS de 10.0, lași totul și patchuiești imediat. Pentru că acest tip de vulnerabilitate înseamnă exploatare ușoară cu impact maxim, cea mai gravă alarmă posibilă. A treia lecție: framework-urile populare sunt o țintă atractivă, o singură vulnerabilitate în React sau Next.js înseamnă milioane de site-uri expuse simultan atacurilor.
Serviciile Microsoft au înregistrat un record nedorit în 2025: un număr de 1.139 de patch-uri, adică 95 pe lună, 22 pe săptămână, 3 pe zi. Iar companiile fac freeze pe patching în decembrie, exact când apare un nou val de vulnerabilități critice.
Pentru 2026, amenințările vin atât de la state, cât și de la infractori privați. Dacă te gândești că fiind o companie mică nu ești vizat de hackeri, asta nu e o apărare în sine pentru că hackerii te pot folosi ca poartă de intrare pentru instituții sau companii mai mari. AI-ul va crește numărul și eficiența atacurilor. „Vor exista armate de agenți AI care vor ataca permanent”, avertizează Mădălin Dumitru. „Noi pregătim armatele de agenți AI care se ocupă de apărare.”
Quantum computing este din ce în ce mai aproape și va însemna o provocare imensă pentru securitate, pentru că va putea sparge mult mai rapid metodele clasice de criptare pe care se bazează astăzi parolele, tranzacțiile și comunicațiile digitale. Într-o bază militară de cybersecurity din SUA discutam acum 10 ani de securitatea în epoca post-quantum computer, mai spune CEO-ul SCUT.
Concluzia? Vigilență și pregătire
Mădălin Dumitru a reiterat că nu contează cât de mare e compania și nu se pune problema dacă va fi atacată, ci când. Acesta a adus și o nouă nuanță în discuție și anume că responsabilitatea executivilor și deținătorilor de afaceri nu e doar legală, ci și morală, pentru că toți facem parte dintr-un sistem interconectat și trebuie să ne luăm măsurile de securitate care se impun.
Mesajul final e extrem de simplu: Rămâneți vigilenți! Măsurile de bază sunt esențiale: autentificare în doi pași (2FA), nu puneți datele acolo unde nu e necesar, nu răspundeți la mesaje care țipă SCAM. Nu vă garantează nimeni că veți fi 100% siguri, dar veți fi pregătiți. Sperăm ca 2026 să ne găsească pe toți pregătiți!
Dacă vreți să contactați SCUT o puteți face la 0712 112 112 și la adresa activează@scut.com.
