Διαρροή προσωπικών δεδομένων εκατοντάδων νέων επιχειρηματιών που ενεγράφησαν στο πολυδιαφημισμένο μητρώο νεοφυών επιχειρήσεων αποκαλύπτει το Documento. Το διάτρητο, όπως αποδεικνύεται, μητρώο δημιουργήθηκε τον περασμένο Οκτώβριο, υπό την επίβλεψη του υπουργείου Ανάπτυξης και Επενδύσεων και για τη σύστασή του διατέθηκαν 40.000 ευρώ.
Τα χρήματα εισέπραξε κατόπιν διαγωνισμού η εμφανιζόμενη ως start-up επιχείρηση με την επωνυμία Mantis, με σκοπό να δημιουργήσει τον ιστότοπο elevategreece. gov.gr στον οποίο εγγράφεται κάθε νεοφυής επιχείρηση.
Ο στόχος δημιουργίας του εν λόγω μητρώου δεν ήταν άλλος από την καταγραφή των λεγόμενων start-up επιχειρήσεων, των δραστηριοτήτων τους και του αριθμού των εργαζομένων τους, ώστε το κράτος να διαθέτει δεδομένα και να σχεδιάζει μέτρα σύμφωνα με τις ανάγκες και τις απαιτήσεις τους. Οπως προκύπτει από το ρεπορτάζ όμως, στη συγκεκριμένη ιστοσελίδα εμφανίζονται σημαντικά κενά ασφαλείας.
«Διεθνών προδιαγραφών» πλατφόρμα
Το εγχείρημα φαίνεται πως στήθηκε πρόχειρα, με αποτέλεσμα τα προσωπικά δεδομένα ανθρώπων οι οποίοι κατέθεσαν αίτηση εγγραφής στο elevategreece.gov.gr να είναι διαθέσιμα σε οποιονδήποτε, πολύ περισσότερο όμως στους ανταγωνιστές τους. Και αυτό παρά το γεγονός ότι η δημιουργία της πλατφόρμας διαφημίστηκε τόσο από τον υπουργό Ανάπτυξης Άδωνη Γεωργιάδη όσο και από τον πρωθυπουργό, σύμφωνα με τον οποίο η συγκεκριμένη πλατφόρμα «δεν είχε τίποτα να ζηλέψει από τις αντίστοιχες του εξωτερικού».
Η διαδικασία που ακολουθήσαμε
Η έρευνα του Documento ξεκίνησε κατόπιν καταγγελίας η οποία έφτασε στην εφημερίδα μέσω ηλεκτρονικής αλληλογραφίας. Σύμφωνα με αυτήν, όλα τα στοιχεία που είχαν ανέβει στην πλατφόρμα, συμπεριλαμβανομένων εικόνων από το Taxis, φορολογικών στοιχείων, όπως ΑΦΜ φυσικών προσώπων, αριθμοί ταυτότητας, διευθύνσεις κατοικίας και προσωπικά τηλέφωνα, είναι εκτεθειμένα και πρακτικά διαθέσιμα σε οποιονδήποτε.
Προκειμένου να επιβεβαιώσουμε την πληροφορία ακολουθήσαμε την εξής απλή διαδικασία. Επισκεφθήκαμε την ιστοσελίδα elevategreece.gov.gr και ακολουθήσαμε τις οδηγίες για την κατάθεση αίτησης της νεοφυούς επιχείρησής μας. Για τον σκοπό αυτό χρειάστηκε να κάνουμε εγγραφή στον κρατικό ιστότοπο ο οποίος δημιουργήθηκε από τη Mantis, δίνοντας βασικά στοιχεία μας, δηλαδή το ονοματεπώνυμο του αιτούντος και μια διεύθυνση ηλεκτρονικού ταχυδρομείου, την οποία είχαμε δημιουργήσει λίγα λεπτά νωρίτερα.
Η εγγραφή έγινε δίχως την παραμικρή δυσκολία, αλλά πλέον καλούμασταν από την πλατφόρμα να επισυνάψουμε τα στοιχεία εκείνα που θα πιστοποιούσαν ότι η επιχείρησή μας είναι πράγματι νεοφυής και καινοτόμος και ως εκ τούτου έχει δικαίωμα εγγραφής στο μητρώο. Προς διευκόλυνση του εκάστοτε αιτούντος ο ιστότοπος elevategreece.gov.gr παρέχει τη δυνατότητα να πραγματοποιηθεί λήψη ενός υποδείγματος υπεύθυνης δήλωσης.
Ακολουθήσαμε τη συγκεκριμένη διαδικασία και ανακαλύψαμε ότι πράγματι μπορούμε να έχουμε πρόσβαση στα προσωπικά δεδομένα όλων όσοι κατέθεσαν σχετική αίτηση από τον περασμένο Οκτώβριο μέχρι σήμερα. Διαγράφοντας απλώς ένα μέρος της ηλεκτρονικής διεύθυνσης που αναγραφόταν στο πάνω μέρος της οθόνης μας εμφανίστηκαν αρχεία τα οποία περιλαμβάνουν σημαντικά προσωπικά δεδομένα.
Συγκεκριμένα, εντοπίσαμε υπεύθυνες δηλώσεις αιτούντων προς τη Γενική Γραμματεία Ερευνας και Τεχνολογίας, στις οποίες περιλαμβάνονται το όνομα των αιτούντων, η ημερομηνία γέννησής τους, ο αριθμός της αστυνομικής τους ταυτότητας, ο ΑΦΜ τους, το κινητό τους τηλέφωνο, το e-mail τους και η διεύθυνση κατοικίας τους. Εντοπίσαμε ακόμη καταστάσεις οικονομικών στοιχείων, μηνύματα ηλεκτρονικής αλληλογραφίας και εικόνες από το Taxis τις οποίες έχουν επισυνάψει οι αιτούντες.
Ολα τα έγγραφα είναι βεβαίως διαθέσιμα και για λήψη, πράγμα που σημαίνει ότι καθένας που δημιουργεί προφίλ στην ιστοσελίδα elevategreece.gov.gr ή που διαθέτει κωδικούς μπορεί να έχει στον υπολογιστή προσωπικά δεδομένα νέων επιχειρηματιών, εσωτερική αλληλογραφία, ακόμη και φορολογικά στοιχεία εταιρειών ή φυσικών προσώπων.
Απροκάλυπτα ψέματα από το υπουργείο
Σε απάντησή του προς το Documento, το υπουργείο Ανάπτυξης επιχείρησε να συγκαλύψει το πρόβλημα ψευδόμενο. Αναφέρεται συγκεκριμένα στην απάντηση ότι «δεν αποτελεί πραγματικότητα ότι οποιοσδήποτε πολίτης επιθυμεί μπορεί να έχει πρόσβαση σε προσωπικά δεδομένα εκατοντάδων επιχειρηματιών, ούτε είναι αληθές ότι είναι διαθέσιμα προς ανάγνωση και λήψη αρχεία στα οποία περιλαμβάνονται φορολογικά στοιχεία (όπως ΑΦΜ) φυσικών προσώπων, προσωπικές διευθύνσεις, προσωπικά τηλέφωνα κ.λπ.».
Σύμφωνα με το υπουργείο, τα μόνα προσωπικά δεδομένα φυσικών προσώπων είναι αυτά που καταγράφουν οι νόμιμοι εκπρόσωποι των εταιρειών στις υπεύθυνες δηλώσεις, οι οποίες «φυσικά δεν είναι προσβάσιμες στον οποιονδήποτε, εκτός αν κάποιος, μέσω κυβερνοεπίθεσης, αντλήσει παρανόμως τα στοιχεία αυτά».
Στην πραγματικότητα και σε πλήρη αντίθεση με όσα ισχυρίζεται το υπουργείο Ανάπτυξης εντοπίσαμε τις ευαίσθητες προσωπικές πληροφορίες μέσω μιας διαδικασίας την οποία θα μπορούσε να ακολουθήσει οποιοσδήποτε πολίτης και σίγουρα όχι επειδή καταφέραμε να σπάσουμε τους κώδικες ασφαλείας, οι οποίοι προφανώς είναι ανύπαρκτοι.
Φαίνεται απλώς πως αν η πραγματικότητα διαφωνεί με το κυβερνητικό αφήγημα, τόσο το χειρότερο για την πραγματικότητα.