Audit OSINT pentru un lanț hotelier european

Sector

Ospitalitate · lanț boutique cu 8-12 proprietăți · Europa Centrală și de Est · 250-400 angajați.

Situația inițială

Înaintea unei runde de finanțare, echipa de conducere a solicitat verificarea informațiilor sensibile despre organizație care erau accesibile public. Îngrijorarea era declanșată de un incident recent din sector și de pregătirea unui proces de due diligence în care urmau să fie auditate practicile de prelucrare a datelor.

Abordare

Am realizat un audit OSINT structurat pe patru direcții: suprafața tehnică (subdomenii expuse, depozite publice de cod, bucket-uri fără autentificare), suprafața documentară (Scribd, SlideShare, depozite academice și portaluri de licitații), suprafața umană (profiluri profesionale care divulgă detalii de infrastructură internă) și suprafața furnizorilor. Rezultatele au fost încrucișate cu inventarul intern primit sub NDA. Fiecare constatare a fost validată manual pentru a exclude falsele pozitive înainte de livrarea raportului.

Rezultat

Au fost identificate documente interne cu date personale ale oaspeților și angajaților publicate involuntar în depozite externe, alături de credențiale istorice scurse prin breșe ale unor terți. Am proiectat un plan de izolare de cinci zile și am pregătit documentația necesară pentru notificarea regulatorului competent în termenele GDPR.

Lecție

Cele mai grave scurgeri rareori vin dintr-un atac sofisticat: vin din procese de rutină fără control asupra locului unde ajung documentele partajate.

Timp și efort

12-18 zile calendaristice · 35-50 ore de consultanță · 1 raport executiv + 1 raport tehnic + 1 plan de remediere.

Tag-uri

OSINT · GDPR · DPO · Gestionarea incidentelor · Due diligence · Igienă documentară