Εκαναν φτερά προσωπικά δεδομένα 4-5 εκατ. πολιτών
Η συμμορία κυβερνοεκβιαστών «Vice Society» έπληξε τον ελληνικό οργανισμό, παρέλυσε μέρος του δικτύου του για ημέρες και διέρρευσε στοιχεία εκατομμυρίων πολιτών στο σκοτεινό Διαδίκτυο, με αποτέλεσμα να επιβληθεί πρόσφατα από την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα πρόστιμο ύψους 2,9 εκατ. ευρώ στα ΕΛ.ΤΑ. (όπως αποκάλυψε η Καθημερινή).
Η απειλή ήταν γνωστή, αλλά δεν αντιμετωπίστηκε. Τον Απρίλιο του 2021, μια έρευνα στα υπολογιστικά συστήματα των ΕΛ.ΤΑ. είχε προειδοποιήσει για τον υψηλό κίνδυνο υποκλοπής δεδομένων. Διαπίστωνε σημαντικά κενά ασφαλείας, χρήση απαρχαιωμένων εφαρμογών, ελλείψεις στην εκπαίδευση προσωπικού και έκρινε ότι υπήρχε μεγάλο ρίσκο επίθεσης τύπου ransomware, με την οποία οι χάκερ θέτουν σε ψηφιακή ομηρία αρχεία και ζητούν λύτρα για την αποδέσμευσή τους. Το χτύπημα ήταν ζήτημα χρόνου.
Οπως γράφει η Καθημερινή στις 4 Μαΐου, λίγες εβδομάδες μετά την επίθε
σή τους στα ΕΛ.ΤΑ., οι χάκερ της ομάδας «Vice Society» ανάρτησαν στο σκοτεινό Διαδίκτυο τα αρχεία που είχαν υποκλέψει. Σε αυτά περιλαμβάνονταν μεταξύ άλλων οικονομικά στοιχεία εταιρειών και εργαζομένων, πρακτικά Διοικητικού Συμβουλίου, φωτογραφίες προσωπικού αρχείου και πελατών, κατάλογος συνταξιούχων του ΟΓΑ, υπεύθυνες δηλώσεις και εξουσιοδοτήσεις, στοιχεία πελατών και προμηθευτών, φωτογραφίες διπλώματος οδήγησης που προφανώς είχαν αποθηκευτεί σε κάποιον υπολογιστή. Σύμφωνα με εκτιμήσεις της Αρχής Προστασίας Δεδομένων, οι επηρεαζόμενοι πολίτες φτάνουν τα 4 με 5 εκατομμύρια.
Οι διευθύνσεις IP που χρησιμοποίησαν οι δράστες παρέπεμπαν σε Ιράν, Ελβετία και Ολλανδία. Εκτιμάται ότι επιλέχθηκαν για να παραπλανήσουν όσους επιχειρούσαν να αναζητήσουν τα πραγματικά ίχνη τους.
Σε ανακοίνωσή τους τα ΕΛ.ΤΑ. είχαν εκτιμήσει ότι η διαρροή δεδομένων στο σκοτεινό Διαδίκτυο, εξαιτίας και του «βαθμού δυσκολίας στην προσβασιμότητα των εν λόγω πληροφοριών», είχε «περιορισμένο αντίκτυπο συνεπειών για τα εμπλεκόμενα μέρη». Ωστόσο, με αυτό το επιχείρημα ο οργανισμός παραβλέπει τον τρόπο λειτουργίας των κυβερνοεγκληματιών. Είναι συνηθισμένη πρακτική των χάκερ η αλίευση πληροφοριών και δεδομένων που έχουν διαρρεύσει στο σκοτεινό Διαδίκτυο, τα οποία έπειτα μπορούν να αξιοποιηθούν για άλλες παράνομες ενέργειες.
Με απόφασή της στις 28 Φεβρουαρίου 2024 η Αρχή Προστασίας Δεδομένων επέβαλε πρόστιμο 2.995.140 ευρώ στα ΕΛ.ΤΑ.. Στο σκεπτικό της αναφέρει ότι ο οργανισμός δεν τηρούσε επαρκή τεχνικά μέτρα ασφαλείας στο σύστημα. Για τον υπολογισμό του ύψους του προστίμου η Αρχή έλαβε υπόψη της το μεγάλο εύρος των επηρεαζόμενων προσώπων, στα οποία περιλαμβάνονται υπάλληλοι και στελέχη των ΕΛ.ΤΑ., πελάτες και εξωτερικοί συνεργάτες, διανομείς, αντισυμβαλλόμενοι, συνταξιούχοι, ταχυδρομικοί πράκτορες, δανειολήπτες, εγγυητές, καθώς και την εκτεταμένη διαρροή δεδομένων που αφορά προσωπικά και οικονομικά στοιχεία.