Amenințări
Atac cibernetic la ANCPI: cadastrul blocat și datele scoase la vânzare. Ce știm până acum
Pe 14 iulie 2026, sistemul național de cadastru a fost paralizat de un atac cibernetic, iar un atacator a scos date la vânzare pe dark web. Iată cronologia verificată, ce s-a compromis, cine este atacatorul și ce lecții tragem, fără panică și fără speculații.

Pe 14 iulie 2026, sistemul național de cadastru și carte funciară al României a fost paralizat de un atac cibernetic. Aplicația e-Terra, folosită zilnic de cetățeni, notari, avocați, experți cadastrali, bănci și autorități, a devenit indisponibilă, la fel și adresele de e-mail ale ANCPI. A doua zi, un atacator care își spune „ByteToBreach” a scos la vânzare, pe un forum de dark web, date atribuite instituției și codul-sursă al aplicațiilor ei. Mai jos găsești, strict pe baza a ceea ce a fost documentat public, cronologia, ce s-a compromis, cine este atacatorul și, mai important, de ce spun autoritățile că atacul „putea fi prevenit”.
Pe scurt
- Sistemul de cadastru e-Terra a fost blocat marți, 14 iulie 2026, printr-un atac descris de ANCPI drept cel mai grav incident tehnic din istoria instituției.
- Un atacator cunoscut ca „ByteToBreach” a scos la vânzare, pe 15 iulie, date atribuite ANCPI și o copie a codului-sursă (e-Terra și RENNS), susținând și că a rulat un ransomware și a început să șteargă backupurile.
- Directorul DNSC, Dan Cîmpean, a declarat că atacul „putea fi prevenit”: au fost exploatate vulnerabilități semnalate anterior și neremediate, plus credențiale scurse online.
- ANCPI a susținut că datele nu au fost compromise; DNSC a folosit o formulare mai prudentă, „nu am detectat” date personale furate. Cercetătorii (Public Record, KELA) au documentat totuși anunțul de vânzare.
- Atribuirea nu e stabilită definitiv: autoritățile române și firma KELA indică o origine algeriană, în timp ce o analiză independentă indică o persoană din Grecia.
Cronologia atacului
Faptele publicate până acum conturează o succesiune clară, chiar dacă ancheta oficială este în desfășurare:
Marți, 14 iulie 2026
Toate sistemele informatice ale ANCPI, inclusiv e-Terra și e-mailul instituției, devin nefuncționale. ANCPI comunică inițial un „incident tehnic major”. DNSC este notificat în aceeași zi și trimite o echipă de sprijin.
Miercuri, 15 iulie 2026
ANCPI recunoaște că este vorba de un atac cibernetic. În aceeași zi, un anunț de vânzare a datelor apare pe un forum de dark web. ANCPI transmite că datele administrate nu au fost compromise.
Joi, 17 iulie 2026
Publicația Public Record publică investigația care documentează anunțul. Directorul DNSC declară că atacul putea fi prevenit. Tranzacțiile imobiliare sunt blocate de trei zile.
După 18 iulie 2026
Estimarea de revenire „până la finalul săptămânii” este depășită. ANCPI renunță la un termen ferm, invocând ancheta, iar serviciile rămân, o vreme, indisponibile.
Ce sisteme au fost lovite
Atacul nu a vizat un singur serviciu, ci mai multe componente ale infrastructurii ANCPI. Din informațiile publicate reiese că au fost afectate:
- e-Terra, aplicația centrală de cadastru și carte funciară, prin care se fac operațiunile legate de proprietăți. Indisponibilitatea ei a blocat efectiv tranzacțiile imobiliare aflate în derulare.
- RENNS, Registrul Electronic Național al Nomenclaturilor Stradale (registrul oficial de adrese), a cărui bază de cod ar fi fost și ea copiată.
- Adresele de e-mail ale instituției, ceea ce a îngreunat inclusiv comunicarea.
- Serverele GitLab, unde este găzduit codul-sursă al aplicațiilor. Atacatorul susține că a făcut o copie completă a acestora, cu tot cu codul pentru e-Terra și RENNS.
Un detaliu tehnic relevant vine din analiza firmei de intelligence KELA, care a examinat capturile publicate de atacator: mediul intern ar include sisteme învechite, ieșite din suport, precum Windows XP și Windows Server 2003, un domeniu Active Directory cu zeci de politici de grup și parole slab protejate. Nu e o curiozitate: exact astfel de sisteme, care nu mai primesc actualizări de securitate, sunt cele care transformă o breșă cunoscută într-o ușă larg deschisă.

Ce susține atacatorul că a furat
Este important de făcut o distincție pe care presa serioasă o păstrează: o parte dintre detalii sunt afirmații ale atacatorului, susținute cu capturi de ecran, nu confirmări oficiale. Din anunțul de vânzare și din declarațiile lui, categoriile puse în discuție sunt:
Date ale cetățenilor
Informații din diverse baze de date colectate prin rețelele ANCPI, inclusiv adrese. Nu reproducem aici niciun fel de date personale; discutăm doar la nivel de categorii.
Cod-sursă (GitLab)
O copie a serverelor GitLab, cu codul-sursă al aplicațiilor, între care e-Terra și RENNS. Este un risc distinct: ușurează descoperirea altor breșe.
Date interne de infrastructură
Potrivit KELA: cartografierea Active Directory, politici de grup, date ale angajaților și parole codificate slab. Adică cheile de acces la rețea, nu doar conținutul ei.
Ransomware și backupuri
Atacatorul susține că a rulat o versiune proprie de ransomware și că a început să șteargă copiile de siguranță ale instituției.
Datele au fost anunțate spre vânzare pe 15 iulie, pe un forum de comercializare a datelor obținute din atacuri, identificat de Public Record ca fiind spear.cx, sub un titlu batjocoritor la adresa României. Un lucru important pentru corectitudine: nicio sursă serioasă nu a publicat un număr concret de înregistrări sau un volum în gigaocteți, iar niciun preț real nu a fost făcut public. Cifra de 10 milioane de euro care a circulat pe rețelele sociale a fost negată chiar de atacator, care a afirmat că „oricărui om întreg la minte i-ar fi rușine să ceară un astfel de preț” și că motivația sa este strict financiară.
Ce spun autoritățile: „nu am detectat” nu e totuna cu „nu s-a furat”
Aici e nuanța pe care merită să o reții. Pe 15 iulie, ANCPI a transmis ferm că datele administrate „nu au fost compromise”. Directorul DNSC, Dan Cîmpean, a folosit însă o formulare mai atentă câteva zile mai târziu: „nu am detectat date personale ale cetățenilor furate” și nici extrase de carte funciară. Este o afirmație de nedetectare, nu o garanție că nu s-a luat nimic. În paralel, Public Record și cercetătorii de la KELA au documentat existența anunțului de vânzare și a mostrelor, iar KELA notează că, în trecut, seturile de date vândute de acest atacator au fost confirmate ulterior de victime. Decalajul dintre mesajul liniștitor și realitatea documentată este, într-un incident de acest tip, la fel de important ca atacul în sine.
Cine este „ByteToBreach”
Atacatorul operează sub pseudonimul ByteToBreach. DNSC îl descrie ca pe un actor motivat exclusiv financiar, un „broker de acces” specializat în obținerea accesului inițial și în exfiltrarea de date, nu un actor statal, activ de la jumătatea lui 2025. Firma israeliană KELA îl profilează ca pe un operator persistent de scurgeri de date, cu victime din companii aeriene, bănci, universități și instituții guvernamentale din mai multe țări (Ucraina, Polonia, Cipru, Chile, Uzbekistan, Kazahstan, SUA, Singapore și acum România).
Atribuirea exactă a persoanei din spate rămâne însă incertă. Autoritățile române și KELA indică o origine algeriană (KELA vorbește, cu prudență, despre o persoană din Oran), în timp ce o analiză independentă (DarkSignal) ajunge la o concluzie diferită, o persoană din Grecia. Ambele investigații pornesc de la aceleași indicii fragile (un nume de utilizator cu litere amestecate), ceea ce arată cât de ușor de manipulat este acest gen de urmă. Pe scurt: identitatea reală nu este confirmată juridic.
Tacticile asociate acestui actor sunt, de regulă, dintre cele mai comune și mai eficiente: exploatarea unor vulnerabilități cunoscute și neremediate, refolosirea unor credențiale obținute prin infostealer sau phishing, atacuri de tip brute force și profitarea de configurări greșite. Nu trucuri spectaculoase, ci igienă de securitate lipsă.
Cum a intrat: un atac care „putea fi prevenit”
Aceasta este, probabil, cea mai dură concluzie a întregului caz și nu vine de la un comentator, ci de la șeful autorității naționale de securitate cibernetică. Directorul DNSC, Dan Cîmpean, a declarat public că atacul nu a fost unul complex și că putea fi prevenit: atacatorii au exploatat vulnerabilități pe care DNSC le semnalase deja instituției, rămase neremediate, combinate cu credențiale pierdute și publicate online. Atacatorul, la rândul lui, a afirmat într-un interviu că a folosit „o vulnerabilitate cunoscută din 2021”. Cele două versiuni se întâlnesc în același loc: nu a fost nevoie de o breșă necunoscută (zero-day), ci de una veche, publicată și peticită de ani buni, lăsată însă deschisă.
Lecția backupurilor
Nu a fost un caz izolat
Atacul asupra ANCPI face parte dintr-un val mai amplu de presiune asupra serviciilor publice online din România, în aceeași perioadă. Merită separate corect lucrurile, fiindcă nu toate au fost la fel:
- ANCPI a fost o breșă directă, cu blocarea sistemelor.
- MIPE (Ministerul Investițiilor și Proiectelor Europene) a raportat că o aplicație de achiziții pentru beneficiarii privați de fonduri europene a fost lovită și scoasă temporar din funcțiune.
- Ghișeul.ro nu a fost, de fapt, spart. A fost vorba de o campanie de phishing separată, care a clonat identitatea vizuală a platformei prin domenii false și mesaje despre amenzi fictive. Autoritățile au subliniat că este un fenomen diferit de atacurile directe.
DNSC a precizat că nu poate stabili încă o legătură directă între aceste incidente și a evitat să atribuie pripit valul unei anumite țări. Contextul general rămâne însă unul de presiune cibernetică ridicată asupra instituțiilor românești.
Ce înseamnă pentru firme și cetățeni
Chiar dacă tu nu ești o instituție de stat, mecanismele care au dus la acest incident sunt exact cele care lovesc și firmele private. Câteva concluzii practice, fără alarmism:
- Vulnerabilitățile vechi ucid. Un program de actualizări (patch management) și scanarea periodică a vulnerabilităților nu sunt lux, ci minimul necesar. O breșă din 2021 nu ar mai trebui să existe în 2026, iar sistemele ieșite din suport (precum Windows XP sau Server 2003) trebuie înlocuite sau strict izolate.
- Backupurile trebuie izolate. Dacă un atacator îți poate șterge și copiile de rezervă, nu ai backup, ai o iluzie. Copiile imutabile sau offline fac diferența între o pauză și o catastrofă.
- Accesul contează mai mult ca perimetrul. Multe breșe pornesc de la credențiale furate. Accesul de tip Zero Trust și autentificarea în doi pași reduc mult riscul ca o singură parolă compromisă să deschidă toată rețeaua.
- Conformitatea devine obligatorie. Pentru firmele care intră sub incidența directivei NIS2, gestionarea riscurilor și raportarea incidentelor nu mai sunt opționale. Un incident ca acesta arată de ce.
Ca cetățean, chiar dacă amploarea reală a datelor se verifică, prudența e ieftină: fii mai atent la tentativele de phishing care folosesc date reale despre proprietăți, activează autentificarea în doi pași pe conturile importante și tratează cu suspiciune orice mesaj „oficial” care îți cere date sau plăți. Autoritățile au recomandat, de altfel, să nu se plătească răscumpărări. Dacă lucrezi cu date cu caracter personal, merită să înțelegi și expunerea legală, așa cum am detaliat în articolul despre amenzile GDPR pentru firmele sparte, iar dacă atacul implică criptarea datelor, tehnica de bază este explicată în ghidul despre ce este un ransomware.
Ce a scris presa
Cazul a fost investigat și relatat pe larg. Sintetizăm mai jos sursele principale, pentru cine vrea să verifice direct:
- Public Record a realizat investigația care a documentat anunțul de vânzare al datelor și al codului-sursă: publicrecord.ro.
- G4Media a publicat interviul cu directorul DNSC, Dan Cîmpean, în care spune că atacul putea fi prevenit și că nu a detectat date personale furate.
- HotNews și Euronews România au publicat declarațiile atacatorului („nu le vând chiar oricui”, negarea sumei de 10 milioane de euro): hotnews.ro.
- Help Net Security și analiza firmei KELA au acoperit componenta tehnică și profilul atacatorului la nivel internațional: helpnetsecurity.com.
- Adevărul, Digi24, Mediafax și News.ro au relatat cronologia oficială, indisponibilitatea e-Terra și blocarea tranzacțiilor imobiliare.
Concluzie
Atacul asupra ANCPI este un amestec de fapte confirmate (sistemele au picat, e-Terra a fost blocată, ancheta e în curs, iar șeful DNSC spune că putea fi prevenit) și de afirmații ale atacatorului care încă se verifică (amploarea exactă a datelor, vulnerabilitatea din 2021, ștergerea backupurilor). Tocmai de aceea merită tratat cu prudență, fără panică, dar și fără minimalizare. Lecțiile sunt însă valabile pentru orice organizație: peticește vulnerabilitățile cunoscute, scoate din uz sistemele ieșite din suport, izolează-ți backupurile, controlează accesul și comunică transparent când se întâmplă un incident. La UpTrust, exact acestea sunt punctele pe care le întărim înainte să devină breșe.
Întrebări frecvente
Ce s-a întâmplat cu ANCPI și cadastrul în iulie 2026?
Pe 14 iulie 2026, sistemele informatice ale Agenției Naționale de Cadastru și Publicitate Imobiliară (ANCPI) au fost paralizate de un atac cibernetic. Aplicația de cadastru și carte funciară e-Terra și adresele de e-mail ale instituției au devenit indisponibile, iar ANCPI a descris incidentul drept cea mai amplă întrerupere tehnică din istoria sa. Tranzacțiile imobiliare aflate în derulare au fost blocate câteva zile.
Ce date au fost compromise în atacul asupra ANCPI?
Atacatorul „ByteToBreach” susține că a copiat date ale cetățenilor din bazele ANCPI, o copie a serverelor GitLab cu codul-sursă al aplicațiilor (e-Terra și RENNS) și date interne de infrastructură, și că a rulat un ransomware. Sunt, în bună parte, afirmații ale atacatorului, scoase la vânzare pe un forum de dark web. Nicio cifră oficială privind numărul de înregistrări nu a fost publicată. ANCPI a spus că datele nu au fost compromise, iar DNSC a folosit o formulare mai prudentă, „nu am detectat” date personale furate, în timp ce cercetătorii au documentat totuși anunțul de vânzare.
Cine este atacatorul ByteToBreach?
Este pseudonimul unui atacator descris de DNSC drept un „broker de acces” motivat exclusiv financiar, nu un actor statal. Firma de intelligence KELA îl profilează ca operator persistent de scurgeri de date, cu victime din companii aeriene, bănci și instituții guvernamentale din mai multe țări. Atribuirea persoanei reale este însă incertă: autoritățile române și KELA indică o origine algeriană, în timp ce o analiză independentă indică o persoană din Grecia. Identitatea nu este confirmată juridic.
Cum a reușit atacatorul să spargă sistemele ANCPI?
Directorul DNSC, Dan Cîmpean, a declarat public că atacul nu a fost complex și că putea fi prevenit: au fost exploatate vulnerabilități pe care DNSC le semnalase deja instituției, rămase neremediate, plus credențiale scurse online. Atacatorul, la rândul lui, susține că a folosit o vulnerabilitate cunoscută din 2021. Ambele versiuni duc în același loc: o breșă veche, cunoscută și nepeticită, nu un atac de tip zero-day. Aceasta este cea mai importantă lecție a incidentului.
Sunt datele mele în pericol și ce pot face?
Dacă figurezi în evidențele de cadastru, o parte dintre datele tale ar putea fi în pachetul scos la vânzare, însă amploarea exactă se verifică. Practic, fii mai atent la tentativele de phishing care folosesc date reale despre proprietăți, activează autentificarea în doi pași pe conturile importante și tratează cu suspiciune orice mesaj „oficial” care îți cere date sau plăți. Nu există un buton magic; vigilența și igiena de securitate contează cel mai mult.
Mai funcționează e-Terra și când revin serviciile?
Sistemul e-Terra a fost indisponibil mai multe zile după 14 iulie 2026, iar ANCPI a estimat revenirea până la finalul săptămânii, în timp ce DNSC și mai multe instituții lucrau la limitarea impactului. Recomandarea practică pentru tranzacții imobiliare este să confirmi disponibilitatea serviciului direct cu notarul sau cu oficiul de cadastru înainte de a programa operațiuni.
Citește și
AmenințăriCe este ransomware și cum funcționează
Ransomware îți criptează fișierele și cere răscumpărare. Vezi ce este, cum funcționează, ce înseamnă dubla extorcare și RaaS, exemple celebre și de ce autoritățile recomandă să nu plătești.
AmenințăriCe este un infostealer și de ce e periculos
Un infostealer fură parolele și cookie-urile salvate de pe dispozitiv, iar cu un cookie de sesiune poate ocoli chiar autentificarea în doi pași. Vezi cum funcționează, cum ajunge la tine și ce faci dacă ești infectat.
AmenințăriAmenzi GDPR 2025: firme sparte, sancțiuni reale
O firmă spartă nu plătește doar incidentul. Plătește și amenda GDPR care vine după. Iată cazurile reale din România și cele patru greșeli care apar mereu în deciziile ANSPDCP.