Εχουν περάσει τέσσερα και πλέον χρόνια από τη μέρα που συνέβη η μεγαλύτερη διαρροή προσωπικών δεδομένων χρηστών κινητής τηλεφωνίας στη χώρα μας και μέχρι σήμερα, όπως φαίνεται, η Δικαιοσύνη «κωλύεται» να αποφανθεί για το ποιος και το γιατί. Από την πλευρά της η Cosmote –θύμα του μεγαλύτερου hacking, όπως λέει η ίδια, στα ελληνικά χρονικά– μπορεί να ειδοποίησε τις αρμόδιες αρχές από την πρώτη κιόλας στιγμή, ως όφειλε, όμως, όπως φαίνεται από σχετική απόφαση της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), η ίδια ήταν ανοχύρωτη απέναντι σε μια τέτοια διαδικτυακή επίθεση.
«Πνίγηκε» η έρευνα
Η Cosmote το 2020 κινείται νομικά κατά των άγνωστων δραστών. Δύο χρόνια αργότερα, στις 27 Ιουλίου 2022, ο Γιώργος Φλωράς, που είχε πέσει θύμα διαρροής προσωπικών δεδομένων στο παρελθόν, καταθέτει τρεις μηνυτήριες αναφορές στην Εισαγγελία Πρωτοδικών Αθηνών σχετικά με έξι αποφάσεις της ΑΔΑΕ που είχαν εκδοθεί και καταδίκαζαν εταιρείες κινητής τηλεφωνίας για παραβίαση του απορρήτου των επικοινωνιών, όμως δεν είχαν σταλεί ως έπρεπε από την ανεξάρτητη αρχή στην εισαγγελία για να ασκηθούν ή μη οι ανάλογες ποινικές διώξεις, όπως ορίζει ο νόμος.
Οι δύο μηνυτήριες αναφορές συσχετίστηκαν μεταξύ τους και ασκήθηκαν ποινικές διώξεις για πέντε διαφορετικές αποφάσεις της ΑΔΑΕ, η τρίτη μηνυτήρια αναφορά όμως, που αφορούσε την υπόθεση του μεγάλου χακαρίσματος της Cosmote, είχε διαφορετική πορεία.
Ο εισαγγελέας πρωτοδικών Διονύσης Πολυζωγόπουλος, ενώ για τις συσχετιζόμενες υποθέσεις συνέλεξε, ως έπρεπε, τις μη δημοσιευμένες (απόρρητες) αποφάσεις της ΑΔΑΕ και κάλεσε όλους τους εμπλεκόμενους σε απολογίες, στην υπόθεση της Cosmote δεν το έκανε, δεν κάλεσε ποτέ τους βασικούς υπόλογους της υπόθεσης και αρχειοθέτησε τη σχετική δικογραφία.
Την 1η Απριλίου 2024 ο Γ. Φλωράς προσέφυγε με υπόμνημα στην εισαγγελέα του Αρειου Πάγου, επιδιώκοντας και πετυχαίνοντας την ανάσυρση της υπόθεσης από το αρχείο. Η υπόθεση κατέληξε αρμοδίως στον Διον. Πολυζωγόπουλο και αυτός από πλευράς του αναγκάστηκε να της ρίξει μια «δεύτερη ματιά».
Ομως δεν είδε τις ευθύνες και τα τεράστια κενά ασφαλείας που με τον τρόπο τους υποβοήθησαν τη διαρροή δεδομένων.
Στην απόρρητη απόφασή της για το περιστατικό η ΑΔΑΕ, που αυτήν τη φορά τη ζήτησε αλλά δεν την έλαβε καθώς φαίνεται υπόψη του ο εισαγγελέας, η οποία είναι στη διάθεση του Documento, γράφει: «Αναφορικά με την Πολιτική Ασφαλείας του Δικτύου […], δεν υπήρχε μηχανισμός προστασίας που να εφαρμόζεται στον εξυπηρετητή αντιγράφων ασφαλείας, με συνέπεια να υπάρχει δικτυακή πρόσβαση από την αποστρατικοποιημένη ζώνη στην οποία ήταν εγκατεστημένος ο εξυπηρετητής Webhosting». Και συνεχίζει επιρρίπτοντας ευθέως ευθύνες στην εταιρεία: «Aναφορικά με την Πολιτική Ασφαλείας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών […], η εταιρεία δεν είχε πραγματοποιήσει αποτίμηση κινδύνου που να συμπεριλαμβάνει αδυναμίες για τους εξυπηρετητές αντιγράφων ασφαλείας».
Τα κενά ασφαλείας
Συνοπτικά η ΑΔΑΕ στην απόφαση που έχει εκδώσει αναφέρει έξι σημεία για τα κενά ασφαλείας της εταιρείας. Επιπλέον, παρά τους όποιους ισχυρισμούς της εταιρείας για επίθεση από χάκερ, η ΑΔΑΕ αναφέρει: «Αβασίμως επικαλείται η εταιρεία ότι συνομολογείται και από την ΑΔΑΕ πως ο επιτιθέμενος απέκτησε διαχειριστική πρόσβαση […], χρησιμοποιώντας τα στοιχεία πρόσβασης διαχειριστή από λίστες που συντηρούν hackers με κωδικούς πρόσβασης που έχουν διαρρεύσει από μέσα κοινωνικής δικτύωσης». Και γι’ αυτό η ΑΔΑΕ καταλήγει με ψήφους τεσσάρων έναντι δύο να επιβάλει πρόστιμο 3.000.000 ευρώ στην Cosmote με το σκεπτικό ότι «για το είδος και το ύψος της εν λόγω διοικητικής κυρώσεως, ελήφθησαν υπ’ όψη […] οι κρίσιμες αποκλίσεις από την εφαρμογή Πολιτικής Ασφαλείας για τη Διασφάλιση του Απορρήτου των Επικοινωνιών της εταιρείας και η διάρκεια της προσβολής που επήλθε και η οποία δεν απετράπη εξαιτίας των αποκλίσεων αυτών».
Εντέλει όμως, η επίμαχη μηνυτήρια αναφορά Φλωρά, αφού πέρασε από χίλια κύματα, κατέληξε σε ακόμη μια οριστική αρχειοθέτηση.
Η διαρροή σε λιθουανικό server
Tο μέγεθος της διαρροής δεδομένων έχει επηρεάσει συνολικά 12.013.928 χρήστες, εκ των οποίων 4.792.869 συνδρομητές Cosmote, 6.939.656 χρήστες άλλων εγχώριων παρόχων και 281.403 συνδρομητές περιαγωγής, δηλαδή αλλοδαπούς και Ευρωπαίους πολίτες.
Τα ποιοτικά χαρακτηριστικά του υλικού που διέρρευσε ήταν ο αριθμός τηλεφώνου, ο τύπος συσκευής, η ηλικία, το φύλο, η ημέρα και η ώρα πραγματοποίησης της κλήσης και η διάρκειά της, το IMSI (15ψήφιος κωδικός ο οποίος χρησιμοποιείται για τη μοναδική αναγνώριση του συνδρομητή στο δίκτυο κινητής τηλεφωνίας), το ARPU (μέσο έσοδο ανά χρήστη), συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών Cosmote. Από τα λεγόμενα και μεταδεδομένα των επικοινωνιών μπορεί να προκύψουν πολύ χρήσιμες πληροφορίες, ειδικά αν αφορούν πρόσωπα ενδιαφέροντος, όπως δημοσιογράφους, επιχειρηματίες, στρατιωτικούς, πολιτικούς και δικαστικούς.
Σύμφωνα με την ΑΔΑΕ, η Cosmote είχε διαπιστώσει: «Επειτα από διερεύνηση της εταιρείας, βρέθηκε αποθηκευμένο στο server αρχείο μεγέθους 30 GB με ονομασία cd.gz το οποίο περιείχε δεδομένα επικοινωνίας συνδρομητών για το χρονικό διάστημα 1/9/2020 – 5/9/2020. Επίσης διαπιστώθηκε ότι από ώρα 10:34 π.μ. έως ώρα 11:53 π.μ. της 8/9/2020 υπήρξε διαδικτυακή κίνηση δεδομένων 30 GB μεταξύ server και εξωτερικής IP, η οποία ανήκει σε Hosting Provider της Λιθουανίας». Με απλά λόγια οι χάκερ είχαν συλλέξει έναν όγκο αρχείων και τον είχαν αποθηκεύσει σε ένα σημείο μέσα σε server της εταιρείας. Οταν έγιναν αντιληπτοί, μετέφεραν το υλικό ανενόχλητοι σε υπολογιστή στη Λιθουανία, όπου από εκεί χάθηκαν τα ίχνη της διαρροής.
Διαβάστε επίσης:
Παρίσι: Έκτακτη Σύνοδος Κορυφής για το Ουκρανικό ενώ η Ουάσιγκτον γύρισε την πλάτη στους Ευρωπαίους
Ο αντιπρόεδρος των ΗΠΑ κουνάει το δάχτυλο και κάνει μαθήματα «Δημοκρατίας» στους Ευρωπαίους (Video)
Ευρωπαϊκή Ένωση: Τα «πάνω κάτω» μετά την ομιλία του Αμερικανού αντιπροέδρου στο Μόναχο
Η Ευρώπη τρέχει πίσω από τον Τραμπ στην Ουκρανία – Ουραγός η ΕΕ στην τεχνητή νοημοσύνη
BAFTA 2025: Μεγάλη βραδιά για «Conclave» και «The Brutalist» – Όλοι οι νικητές
Γάλλος ΥΠΕΞ: «Αδιανόητο» να επανενταχθεί η Ρωσία στην G7
ΗΠΑ: Η Σέριλ Κρόου πούλησε το Tesla της – Που προσέφερε τα χρήματα (Video)
