Πέμπτη, 24 Απριλίου, 2025
ΕΛΛΑΔΑ

Κυβερνοεπίθεση στην ΕΕΤΑΑ: Διαρροή Δεδομένων Πολιτών – Πώς έγινε και ποιοι επηρεάζονται

Εισαγωγή στην κυβερνοεπίθεση

Στις αρχές Μαρτίου, η ελληνική εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης (ΕΕΤΑΑ) δέχθηκε μια σοβαρή κυβερνοεπίθεση. Οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα που αφορούν έως 2,5 εκατομμύρια γονείς και βρέφη. Αυτή η επίθεση επισημαίνει τις προκλήσεις ασφάλειας που αντιμετωπίζουν οι δημόσιες υπηρεσίες σήμερα.

Περίληψη των διαρροών

Σύμφωνα με τις πληροφορίες που ανέφερε η διοίκηση της ΕΕΤΑΑ, η κυβερνοεπίθεση οδήγησε στη διαρροή σημαντικών προσωπικών δεδομένων, όπως ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ και IBAN πολιτών. Αυτές οι πληροφορίες είναι ιδιαιτέρως ευαίσθητες και ενδέχεται να χρησιμοποιηθούν για δόλιες ενέργειες εάν δεν ληφθούν άμεσα μέτρα.

Αντιμετώπιση και μέτρα πολιτικής προστασίας

Σύμφωνα με την ΕΕΤΑΑ, «η εταιρεία δέχθηκε σειρά κυβερνοεπιθέσεων, οι οποίες έγιναν αρχικά αντιληπτές την Τρίτη, 3/3/2025 και συνέχισαν να εκδηλώνονται μέχρι και την Τετάρτη, 5/3/2025, οπότε και τεκμηριωμένα διαπιστώθηκαν από τα αρμόδια στελέχη της Εταιρείας. Το ως άνω γεγονός είχε ως αποτέλεσμα την παραβίαση της εμπιστευτικότητας και διαθεσιμότητας (όχι όμως και της ακεραιότητας) των προσωπικών δεδομένων που τηρούνται από την ΕΕΤΑΑ για τις ανάγκες υλοποίησης:

α) της Δράσης «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης» των περιόδων 2014-2015 έως και 2024-2025 και

β) της πιλοτικής εφαρμογής της Δράσης «Νταντάδες της Γειτονιάς».

Σύμφωνα με τα αρμόδια στελέχη της Δ/νσης Τεκμηρίωσης και ΤΠΕ της ΕΕΤΑΑ που διαπίστωσαν την επίθεση, «η παραβίαση προήλθε από κυβερνοεπιθέσεις της κατηγορίας “Ransomware”, οι οποίες εκδηλώθηκαν σε δύο φάσεις και εκτιμάται ότι διήρκεσε από τις πρώτες πρωινές ώρες του Σαββάτου 1/3/2025 μέχρι και τις 14:00 της Τετάρτης 5/3/2025».

Όπως αναφέρει η ΕΕΤΑΑ, «ως αποτέλεσμα της επίθεσης, κρυπτογραφήθηκαν και ενδεχομένως μεταφορτώθηκαν/υπεκλάπησαν (σύμφωνα με σχετικό σημείωμα που άφησαν οι επιτεθέντες) οι Βάσεις Δεδομένων των Πληροφοριακών Συστημάτων που υποστηρίζουν την υλοποίηση:

α) της Δράσης «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης» των περιόδων 2014-2015 έως και 2024-2025 και

β) της πιλοτικής εφαρμογής της Δράσης «Νταντάδες της Γειτονιάς»,
γεγονός που προκάλεσε παραβίαση της εμπιστευτικότητας και διαθεσιμότητας των προσωπικών δεδομένων των υποκειμένων των εν λόγω Δράσεων».

Η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης επισημαίνει ότι «δεν διαπιστώθηκε παραβίαση της ασφάλειας των φακέλων όπου τηρούνται έγγραφα και παραστατικά που αφορούν στα υποκείμενα των δεδομένων (όπως ιδίως δικαιολογητικά, τιμολόγια, κ.λπ.) που τηρούνται σε ψηφιοποιημένη μορφή (Adobe Acrobat-pdf) στους διακομιστές της ΕΕΤΑΑ».

Τονίζει, επίσης, ότι «το πεδίο της εν λόγω παραβίασης περιορίζεται στους διακομιστές και τις Βάσεις Δεδομένων που τηρούνται εντός των εγκαταστάσεων (on-site) της ΕΕΤΑΑ και δεν επεκτάθηκε σε Πληροφοριακά Συστήματα που φιλοξενούνται από άλλους παρόχους στο cloud για την υποστήριξη της υλοποίησης της Δράσης “Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης”».

Ποιοι επηρεάζονται

Σύμφωνα με την ΕΕΤΑΑ: «η κυβερνοεπίθεση ενδέχεται να επέτρεψε σε μη εξουσιοδοτημένα πρόσωπα να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα που τηρεί η ΕΕΤΑΑ, το εν λόγω περιστατικό συνιστά παραβίαση της εμπιστευτικότητας των εν λόγω προσωπικών δεδομένων. Ταυτόχρονα, η θέση εκτός λειτουργίας των εμπλεκόμενων Πληροφοριακών Συστημάτων συνιστά παραβίαση της διαθεσιμότητας των προσωπικών δεδομένων. Τέλος, δεδομένου ότι στην παρούσα φάση εκτιμάται ότι υπάρχει η δυνατότητα επαναφοράς και ανασύστασης των Βάσεων Δεδομένων που επλήγησαν, δεν διαπιστώνεται παραβίαση της ακεραιότητας των παρ’ αυτών τηρούμενων προσωπικών δεδομένων.

Όσον αφορά στη Δράση “Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης”, η παραβίαση αφορά ιδίως στα προσωπικά δεδομένα των αιτούντων για συμμετοχή στο Πρόγραμμα, των ετέρων μελών (συζύγους συντρόφους) καθώς και των ανηλίκων τέκνων αυτών.

Συγκεκριμένα, τα στοιχεία αφορούν:

α) Στο ωφελούμενο πρόσωπο (βρέφος, νήπιο και παιδί προσχολικής εκπαίδευσης καθώς και το παιδί σχολικής ηλικίας, ο έφηβος και το άτομο με αναπηρία, που εμπίπτει στις κατηγορίες και πληρούν τις προϋποθέσεις της εκάστοτε ΚΥΑ προκειμένου να λάβουν «αξία τοποθέτησης» (voucher).

β) Στον νόμιμο εκπρόσωπο/αιτούντα (γονέας ή πρόσωπο που έχει τη γονική μέριμνα ή την επιμέλεια, ο ανάδοχος γονέας, ο επίτροπος ή ο συμπαραστάτης του ωφελούμενου).

γ) Στον νόμιμο εκπρόσωπο Φορέα/Δομής (νόμιμος εκπρόσωπος του Φορέα που παρέχει θέσεις προσχολικής αγωγής και φροντίδας και δημιουργικής απασχόλησης παιδιών ή και ατόμων με αναπηρία, στο πλαίσιο της Δράσης).

δ) Στο στέλεχος Φορέα/Δομής (εργαζόμενος σε Φορέα της παρ. γ) ανωτέρω).
Δεδομένου του εύρους που καλύπτει η περίοδος τήρησης των δεδομένων που παραβιάστηκαν (συνολικά 10 έτη), αδρομερώς υπολογίζεται ότι το πλήθος των αιτήσεων μπορεί να ανέρχεται σε 700.000 και αφορά σε 2.500.000 υποκείμενα περίπου.

Όσον αφορά στην πιλοτική εφαρμογή της Δράσης “Νταντάδες της Γειτονιάς”, η παραβίαση αφορά στα προσωπικά δεδομένα του ωφελούμενου προσώπου (άτομο που έχει την επιμέλεια βρέφους ή νηπίου). Λόγω της πιλοτικής φύσης του έργου, ο συνολικός αριθμός των ως άνω υποκειμένων ανέρχεται στα 700 άτομα περίπου».

Η αρχική ανακοίνωση της ΕΕΤΑΑ

«Η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης (ΕΕΤΑΑ ΑΕ) δέχτηκε κυβερνοεπίθεση στο διάστημα από 01/3/2025 έως 05/3/2025, οπότε και διαπιστώθηκε από τα αρμόδια στελέχη της Δ/νσης Πληροφορικής της Εταιρείας.

Στο πλαίσιο αυτό, εξετάζεται το ενδεχόμενο να έχουν παραβιαστεί και προσωπικά δεδομένα ωφελούμενων των προγραμμάτων και των δράσεων που διαχειρίζεται η ΕΕΤΑΑ ΑΕ.

Για τους λόγους αυτούς, το ως άνω περιστατικό αντιμετωπίστηκε από τη ΕΕΤΑΑ ως ένα περιστατικό παραβίασης της ασφάλειας των προσωπικών δεδομένων και προς τούτο, σύμφωνα με το ισχύον θεσμικό πλαίσιο, η Εταιρεία προχώρησε στις ακόλουθες ενέργειες:

  • α) Απέστειλε, εντός 48 ωρών, στους Υπεύθυνους Επεξεργασίας των ανωτέρω προγραμμάτων και δράσεων (Υπουργεία Κοινωνικής Συνοχής & Οικογένειας και Εθνικής Οικονομίας & Οικονομικών) αναλυτική αναφορά του περιστατικού, η οποία προωθήθηκε αρμοδίως στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) και κοινοποιήθηκε στο Υπουργείο Εσωτερικών.
  • β) Απέστειλε, εντός 72 ωρών, στην ΑΠΔΠΧ αναλυτική αναφορά του περιστατικού ασφαλείας.
  • γ) Υπέβαλε άμεσα αντίστοιχη αναφορά του περιστατικού ασφαλείας στην Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) και τέλος,
  • δ) Αποφάσισε την υποβολή μηνυτήριας αναφοράς κατ’ αγνώστου, προκειμένου του περιστατικού να επιληφθεί αρμοδίως η Αρχή Δίωξης Ηλεκτρονικού Εγκλήματος και τελεί εν αναμονή των αποφάσεων των ως άνω Υπεύθυνων Επεξεργασίας και της ΑΠΔΠΧ, για την άμεση εφαρμογή των παρ’ αυτών υποδεικνυόμενων μέτρων διαχείρισης του περιστατικού ασφαλείας.

Στην παρούσα φάση, η ΕΕΤΑΑ καταβάλει εργώδη προσπάθεια για την όσο το δυνατόν ταχύτερη αποκατάσταση της ομαλής λειτουργίας των πληροφοριακών της συστημάτων, προκειμένου να μπορεί να ανταποκριθεί με επάρκεια στις υποχρεώσεις της για την υλοποίηση των συγχρηματοδοτούμενων έργων και ιδίως για τις πληρωμές του προγράμματος «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης», το αργότερο έως 31 Μαρτίου 2025».

Η συμπληρωματική ανακοίνωση της ΕΕΤΑΑ

Σε συνέχεια της από 12 Μαρτίου 2025 ανακοίνωσης που εξέδωσε η ΕΕΤΑΑ κατ’ εφαρμογή του άρθρου 34 του Γενικού Κανονισμού για την Προστασία Δεδομένων (Κανονισμός 2016/679), σχετικά με την κυβερνοεπίθεση (ransomware attack) που δέχθηκε στο διάστημα από 1ης έως και 5ης Μαρτίου 2025 και στο πλαίσιο της πολιτικής πλήρους διαφάνειας και υπεύθυνης ενημέρωσης της Εταιρείας σχετικά με την πορεία διερεύνησης και τις συνέπειες του ως άνω περιστατικού, δια της παρούσας θα θέλαμε να σας ενημερώσουμε συμπληρωματικά για τα εξής:

Όπως είχε ήδη αναφερθεί και στην αρχική ανακοίνωση, αμέσως μετά τη διαπίστωση της κυβερνοεπίθεσης, η ΕΕΤΑΑ προχώρησε άμεσα στην υποβολή σχετικής αναφοράς στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) καθώς μήνυσης κατ’ αγνώστων. Κατόπιν τούτων, κλιμάκιο ελέγχου της ΕΑΚ διενήργησε ενδελεχή έλεγχο των συστημάτων και ιχνηλάτηση της παραβίασης, με το πόρισμα να αναμένεται εντός του τρέχοντος μηνός. Επίσης, σε συνέχεια της μηνυτήριας αναφοράς, κλιμάκιο της Αρχής Δίωξης Ηλεκτρονικού Εγκλήματος επισκέφτηκε την ΕΕΤΑΑ, πραγματοποίησε έλεγχο και πήρε καταθέσεις από τα αρμόδια στελέχη της Εταιρείας. Τέλος, σύμφωνα με ενημέρωση των ανωτέρω Αρχών, από ελέγχους που διενεργούνται σε τακτική βάση σε σχετικές περιοχές του σκοτεινού ιστού (dark web), δεν έχει εντοπιστεί κάποια ανάρτηση που να σχετίζεται με την κυβερνοεπίθεση στην ΕΕΤΑΑ.

Παρά το γεγονός ότι η πιθανότητα διαρροής και αξιοποίησης των εν λόγω δεδομένων για μη σύννομους σκοπούς είναι περιορισμένη, θεωρούμε χρέος μας να ενημερώσουμε τους συνεργάτες και προμηθευτές μας (ελεύθερους επαγγελματίες ή ατομικές επιχειρήσεις), οι οποίοι συνήψαν συμβάσεις με την ΕΕΤΑΑ κατά την τελευταία δεκαετία, ότι προσωπικά τους δεδομένα όπως ιδίως ονοματεπώνυμο, ΑΦΜ, στοιχεία διεύθυνσης και επικοινωνίας καθώς και στοιχεία τραπεζικού λογαριασμού (BIC, IBAN), περιλαμβάνονται στα δεδομένα που κρυπτογραφήθηκαν και ενδέχεται να έχουν υποκλαπεί στο πλαίσιο της κυβερνοεπίθεσης.

Προς τούτο, κρίνουμε σκόπιμο να ευαισθητοποιήσουμε τους ανωτέρω συνεργάτες μας αλλά και όλους όσοι λαμβάνουν γνώση του παρόντος, σχετικά με τους κινδύνους που συνδέονται με την παράνομη χρήση των προσωπικών τους δεδομένων καθώς και την αναγκαιότητα λήψης κατάλληλων μέτρων προστασίας έναντι του ηλεκτρονικού εγκλήματος.

Ενδεχόμενες συνέπειες της κακόβουλης χρήσης των προσωπικών δεδομένων περιλαμβάνουν ιδίως:

  • Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία.
  • Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
  • Απόπειρες απάτης, μέσω email ή τηλεφώνου.
  • Διαρροή  πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering).
  • Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam).

Προς τούτο, σας συνιστούμε να ακολουθείτε τις εξής καλές πρακτικές:

  • Αλλάξτε (και αλλάζετε τακτικά) τους κωδικούς πρόσβασης στους λογαριασμούς σας, αποφεύγοντας τη χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες.
  • Χρησιμοποιείτε ισχυρούς κωδικούς, με τουλάχιστον 10 χαρακτήρες που να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων.
  • Να είστε προσεκτικοί με emails ή τηλεφωνικές κλήσεις που ζητούν προσωπικά στοιχεία ή οικονομικές πληροφορίες.
  • Μην ανοίγετε συνδέσμους σε άγνωστους ιστότοπους και μην κατεβάζετε συνημμένα από άγνωστες ή ύποπτες πηγές.
  • Παρακολουθείτε τις συναλλαγές σας για τυχόν μη εξουσιοδοτημένες κινήσεις και ενημερώστε, άμεσα, την τράπεζά σας, σε περίπτωση ύποπτης δραστηριότητας.
  • Χρησιμοποιήστε λογισμικό προστασίας από κακόβουλο λογισμικό και διατηρήστε το ενημερωμένο.
  • Ρυθμίστε τις υπηρεσίες που χρησιμοποιείτε ώστε να λαμβάνετε ειδοποιήσεις για ύποπτες συνδέσεις ή δραστηριότητα στους λογαριασμούς σας και ενημερώστε άμεσα τον οικείο πάροχο εφόσον διαπιστώσετε τέτοιο περιστατικό.

Είναι γεγονός ότι οι κυβερνοεπιθέσεις αλλά και οι εν γένει απειλές που συνδέονται με το ψηφιακό έγκλημα, αποτελούν μία δυσάρεστη αλλά αναπόδραστη πραγματικότητα, άρρηκτα συνδεδεμένη με τον σύγχρονο τρόπο ζωής. Η ΕΕΤΑΑ κατανοεί πλήρως τις ανησυχίες όλων και ειδικότερα όσων ενδέχεται να έχουν επηρεαστεί από το πρόσφατο περιστατικό ασφαλείας και τους διαβεβαιώνει ότι αυτό αντιμετωπίζεται από την Εταιρεία με τη δέουσα σοβαρότητα και αποφασιστικότητα.  Σε αυτό το πλαίσιο και προκειμένου να διασφαλιστεί στον μέγιστο δυνατό βαθμό, αφενός η άμβλυνση των συνεπειών του παρόντος και αφετέρου η αποφυγή της επανάληψης αντίστοιχων περιστατικών στο μέλλον, η ΕΕΤΑΑ προχωρά άμεσα στην υλοποίηση ενός ολοκληρωμένου σχεδίου δραστικής ενίσχυσης της ασφάλειας των συστημάτων της και στην καθολική εφαρμογή αυστηρότερων πρωτοκόλλων ασφαλείας σε όλους τους τομείς της λειτουργίας της.

newsok

Νέα από την Ελλάδα και τον Κόσμο - Ιστορικά Βίντεο & Βιογραφίες - Ειδήσεις για Lifestyle, Υγεία, Ψυχολογία, Αθλητικά, Ιστορία, Επιστήμη και Πρόσωπα που εμπνέουν, στο NewsOk

Ίσως Σας Ενδιαφέρει

Τραγωδία στη Θεσσαλονίκη: Πήρε εξιτήριο το αγοράκι που παρασύρθηκε στη Θέρμη – Δεν ξέρει τι έχει συμβεί στους γονείς του

Έφυγε από τη ζωή ο στρατηγός των Ειδικών Δυνάμεων Θανάσης Μπάφας

Βασίλης Καλογήρου – Τοξικολογικές εξετάσεις: Πέθανε στο σημείο που βρέθηκε – Εντοπίστηκε ολανζεπίνη στο οργανισμό του