Κυβερνοεπίθεση στο ΕΑΠ: Στο «dark web» διέρρευσαν προσωπικά δεδομένα 813GB

Πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων

Κυβερνοεπίθεση

Σε μεγάλους μπελάδες έχει μπει από τις 25 Οκτωβρίου του 2024 το Ελληνικό Ανοικτό Πανεπιστήμιο, όταν τα πληροφοριακά του συστήματα δέχθηκαν κυβερνοεπίθεση, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση στα πληροφοριακά του συστήματα. Αρχικά η διοίκηση του ιδρύματος είχε υποβαθμίσει το θέμα μιλώντας για «ένα σοβαρό τεχνικό πρόβλημα στο ηλεκτρονικό σύστημα του πανεπιστημίου».

Ωστόσο, οι ανακοινώσεις της διοίκησης του ιδρύματος δεν είχαν καθησυχάσει τους φοιτητές και το διδακτικό προσωπικό, που φοβόντουσαν, ότι μπορεί να υπάρχει σοβαρή διαρροή των προσωπικών τους δεδομένων.

Πέντε μήνες μετά, το Ελληνικό Ανοικτό Πανεπιστήμιο επιβεβαίωσε την παραβίαση των πληροφοριακών του συστημάτων του ιδρύματος που είχε προκληθεί από μια κακόβουλη κυβερνοεπίθεση στις 25 Οκτωβρίου 2024, και ενημέρωσε περαιτέρω για την έκταση της διαρροής και για το ποια προσωπικά δεδομένα ενδεχομένως να διέρρευσαν στο διαδίκτυο.

Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων.

Σύμφωνα με ανακοίνωση του υπεύθυνου Προστασίας Δεδομένων του ΕΑΠ, Σεραφείμ Καραϊσκάκη, η εισβολή στα πληροφοριακά συστήματα του Πανεπιστημίου δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου. Ωστόσο, η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων.

Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία. Όπως διευκρινίζει το ΕΑΠ, το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes), γεγονός που υποδηλώνει ότι η διαρροή ήταν περιορισμένης κλίμακας. Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή.

Τα διαρρεύσαντα αρχεία περιείχαν, σύμφωνα με τις έως τώρα ενδείξεις, προσωπικά δεδομένα σε διάφορες μορφές αρχείων (κατά κύριο λόγο doc, pdf, excel). Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις.

Επιπρόσθετα, σύμφωνα με τις έως τώρα αναλύσεις, το συγκεκριμένο αρχείο που διέρρευσε δεν είναι εφικτό, στην παρούσα φάση, να ληφθεί ολόκληρο. Αυτό που μπορεί να καταστεί διαθέσιμο για λήψη, είναι αρκετά μικρότερο από το αρχικό σύνολο των δεδομένων που υποκλάπηκαν (περίπου 65 GB έχουν ανακτηθεί).

Ωστόσο τα δεδομένα που έχουν υποκλαπεί αφορούν τα εξής στοιχεία: Ονοματεπώνυμο, Πατρώνυμο / Μητρώνυμο, Ιδιότητα, Στοιχεία Συγγενών, Υπηκοότητα, Φύλο, Ημερομηνία Γέννησης, ΑΦΜ, ΑΜΚΑ, ΑΜ, ΑΔΤ, Υπογραφή (φυσική), Φωτογραφίες, όνομα χρήστη, Δεδομένα Επικοινωνίας (Ταχυδρομική Διεύθυνση, Αριθμός τηλεφώνου (σταθερό & κινητό), Διεύθυνση ηλεκτρονικού ταχυδρομείου (προσωπική & ιδρύματος), ηλεκτρονική αλληλογραφία), Ακαδημαϊκά και Εκπαιδευτικά Δεδομένα & Τίτλοι Σπουδών (Βαθμολογίες και επιδόσεις, Τίτλοι σπουδών, Βεβαιώσεις σπουδών), Δεδομένα Υγείας, Οικονομικά Δεδομένα (IBAN, στοιχεία τιμολόγησης, στοιχεία πληρωμής δαπάνης), Δεδομένα Επαγγελματικής & Ερευνητικής Δραστηριότητας (Βιογραφικό σημείωμα, ερευνητικό / επαγγελματικό / διδακτικό / συγγραφικό έργο), Δεδομένα Αποφάσεων Συλλογικών Οργάνων, αποφάσεις επιτροπών, Δεδομένα Συμβάσεων, Αναδόχων & Προσφορών.

Βάσει των μέχρι τώρα διαθέσιμων ενδείξεων και της συνεχιζόμενης έρευνας, η πραγματική διαρροή φαίνεται να περιορίζεται σε σαφώς μικρότερο εύρος δεδομένων. Το ΕΑΠ αναφέρει ότι εφάρμοσε όλα τα απαραίτητα μέτρα για να διασφαλίσει την ελάχιστη, δυνατή διαρροή ενώ παράλληλα, συνεργάστηκε, άμεσα, με την Εθνική Αρχή Κυβερνοασφάλειας, τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Πιο συγκεκριμένα: Από την πρώτη στιγμή του συμβάντος (25/10/2024) ενημερώθηκε τόσο η Εθνική Αρχή Κυβερνοασφάλειας όσο και η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η ενημέρωση είναι συνεχής. Γνωστοποιήθηκε, έγκαιρα, το περιστατικό στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η αρχική δήλωση επικαιροποιείται ανάλογα με τα δεδομένα. Δημιουργήθηκε Ομάδα Διαχείρισης Περιστατικού.

Οι Τεχνικές Υπηρεσίες του Ιδρύματος, σε συνεργασία με εξειδικευμένη εταιρεία, προέβησαν, άμεσα, σε όλες τις ενέργειες για την αντιμετώπιση του περιστατικού και τον περιορισμό των επιπτώσεών του. Πιο συγκεκριμένα, την ίδια ημέρα (25/10/2024), έγινε απομόνωση του συμβάντος (διακοπή λειτουργίας των συστημάτων που επηρεάζονται).

Ενημέρωση των υποκειμένων των δεδομένων και παροχή ενδεικτικών οδηγιών για την προστασία των προσωπικών τους δεδομένων. Ενίσχυση της ευαισθητοποίησης του ακαδημαικού και διοικητικού προσωπικού σχετικά με την προστασία των προσωπικών δεδομένων και τους κινδύνους από κυβερνοεπιθέσεις.

Ετοιμασία προκήρυξης για ενίσχυση της Τεχνικής Υπηρεσίας με επιπρόσθετο εξειδικευμένο προσωπικό. Κατατέθηκε μηνυτήρια αναφορά κατά αγνώστου και κατά παντός υπευθύνου για την κακόβουλη επίθεση. Έχουν, ήδη, τεθεί σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών μας συστημάτων ενώ βρίσκεται σε εξέλιξη μία συνολική αναβάθμιση της υποδομής μας, η οποία περιλαμβάνει την ενίσχυση των υφιστάμενων μηχανισμών προστασίας και την προσθήκη επιπρόσθετων δικλίδων ασφαλείας. Για λόγους ασφαλείας, οι ακριβείς, τεχνικές ενέργειες που έχουν, ήδη, ληφθεί ή προγραμματιστεί να πραγματοποιηθούν δε μπορούν να δημοσιοποιηθούν.

Το ΕΑΠ αναφέρει ότι μια διαρροή δεδομένων μπορεί να έχει πιθανές συνέπειες για τα υποκείμενα των δεδομένων, όπως: @ Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing). @ Απόπειρες απάτης, μέσω email ή τηλεφώνου. @ Ενδεχόμενη, μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που μπορεί να οδηγήσουν σε απάτες και κακόβουλη χρήση αυτών των προσωπικών πληροφοριών από επιτήδειους ή εγκληματίες. @ Κατάχρηση των δεδομένων για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία στοιχείων. @ Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering). @ Κακόβουλη χρήση των πληροφοριών, με στόχο απάτη (κυρίως οικονομική). @ Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam). @ Παραβίαση της ιδιωτικής ζωής, μέσω ενδεχόμενης διαρροής προσωπικών δεδομένων σε μη εξουσιοδοτημένα άτομα ή φορείς. @ Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για δόλιες δραστηριότητες. Σημειώνεται ότι ο πιθανός αριθμός των εμπλεκόμενων υποκειμένων φαίνεται να είναι, αισθητά, περιορισμένος ενώ και οι κατηγορίες των δεδομένων που ενδέχεται να έχουν διαρρεύσει είναι, σημαντικά, λιγότερες από όσες αναφέρονται.

Παρ’ όλα αυτά, συνιστούμε σε όλους τους ενδιαφερόμενους να λαμβάνουν τα κατάλληλα μέτρα προστασίας, διασφαλίζοντας τα δικαιώματά τους ως υποκείμενα δεδομένων. Με αυτόν τον τρόπο, όχι μόνο συμμορφώνονται με τις απαιτήσεις προστασίας αλλά και ενισχύουν, ενεργά, την ιδιωτικότητά τους.

Διαβάστε επίσης

Υπόμνημα Τριαντόπουλου στην Προανακριτική: Αποχωρήσεις, αιχμές και εξώδικο «φωτιά» της Μαρίας Καρυστιανού

Εικόνες βιβλικής καταστροφής στη Μιανμάρ μετά τα 7,7 Ρίχτερ, η σπάνια έκκληση από τη χούντα ΒΙΝΤΕΟ

Αυτοψία στην Πατρών – Πύργου από τον νέο υπουργό Υποδομών Χρίστο Δήμα: Βήμα – βήμα σε όλα τα εργοτάξια

«Βροχή» επιδομάτων τη Δευτέρα: Ποιοι πληρώνονται και τι αλλάζει με την προπληρωμένη κάρτα

Δένδιας: Αυξήσεις 13% έως 20% στις Ένοπλες Δυνάμεις – Το νέο μισθολόγιο και η Ατζέντα 2030

Πάτρα: SOS για την πλαζ, στην Κτηματική για παράνομες αμμοληψίες

Επαφές Φαρμάκη με την ομογένεια στη Νέα Υόρκη, αποδοχή πρόσκλησης από Ελπιδοφόρο ΦΩΤΟ

Αγορά: Πρεμιέρα για το «Καλάθι του Πάσχα», τι θα περιλαμβάνει