Το Ελληνικό Ανοιχτό Πανεπιστήμιο (ΕΑΠ) ήρθε αντιμέτωπο με μεγάλη ηλεκτρονική επίθεση, από την οποία διέρρευσαν προσωπικά δεδομένα και τραπεζικοί λογαριασμοί στο Dark Web. Τα δεδομένα ήταν ενεργών και μη φοιτητών και ήταν αρκετές χιλιάδες.

Το Ελληνικό Ανοιχτό Πανεπιστήμιο επιβεβαίωσε την παραβίαση των συστημάτων του, μετά από πέντε μήνες, από μια επίθεση που έλαβε χώρα στις 25 Οκτωβρίου του 2024. Το ΕΑΠ δεν έχει προχωρήσει σε ενημέρωση για τα στοιχεία που αποκτήθηκαν, παρά της εκκλήσεις των φοιτητών, καθώς η διερεύνηση βρίσκεται σε εξέλιξη.

Η κυβερνοεπίθεση είχε ως αποτέλεσμα την διαρροή προσωπικών δεδομένων, το μέγεθος των οποίων ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία του ΕΑΠ.

Τα δεδομένα που διέρρευσαν αφορούν:

  • Ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτότητας, υπογραφές, φωτογραφίες
  • Προσωπικά στοιχεία επικοινωνίας (διευθύνσεις, τηλέφωνα, email)
  • Τραπεζικοί λογαριασμοί και στοιχεία πληρωμών
  • Ιατρικά δεδομένα
  • Βαθμολογίες, τίτλοι σπουδών, εκπαιδευτικά έγγραφα
  • Συμβάσεις, αποφάσεις συλλογικών οργάνων και αλληλογραφία

Τα παραπάνω εντοπίστηκαν στο Dark Web και τουλάχιστον ένα μεγάλο μέρος τους έχουν ανακτηθεί από τρίτους, χωρίς να γνωρίζουμε τους σκοπούς τους.

Οι φοιτητές και οι απόφοιτοι έχουν εκφράσει από τον περασμένο Νοέμβριο τις ανησυχίες τους για την έκταση της επίθεσης, αλλά και για την αδικαιολόγητη καθυστέρηση στην ενημέρωση από το ΕΑΠ. Οι φοιτητές είχαν ζητήσει και εγγράφως από το ίδρυμα ενημέρωση για το ποια δεδομένα είχαν διαρρεύσει, ποιοι είχαν πρόσβαση σε αυτά, αλλά και οδηγίες στο τι πρέπει να κάνουν για να παραμείνουν ασφαλείς.

Στις 3 Νοεμβρίου, ξεκίνησαν οι σοβαρές ανησυχίες στους φοιτητές και τους απόφοιτους του ΕΑΠ, καθώς υπήρχε η πιθανότητα να διαρρεύσουν τα δεδομένα τους στο διαδίκτυθο, αν το ίδρυμα δεν πλήρωνε τα λύτρα που ζητούσαν οι hackers. Φυσικά το ΕΑΠ δεν πλήρωσε ποτέ τα λίτρα, στο διάστημα που είχαν ορίσει οι hackers.

Έρχεται η ψηφιακή τράπεζα της Εκκλησίας!

Από τότε οι φοιτητές είχαν εκφράσει ανησυχίες πως τα προσωπικά τους δεδομένα  είχαν ήδη φθάσει στα χέρια τρίτων. Μεγάλες ανησυχίες εκφράστηκαν και από τους στρατιωτικούς φοιτητές και απόφοιτους του ΕΑΠ, που προχώρησαν σε δημόσιες ανακοινώσεις, καθώς τα δικά τους δεδομένα περιέχουν πολύ ευαίσθητες στρατιωτικές πληροφορίες, που σχετίζονται άμεσα με την εθνική ασφάλεια.

Παραθέτουμε ολόκληρη την ανακοίνωση του ΕΑΠ αυτούσια:

«Στις 25/10/2024 εντοπίσαμε ύποπτη δραστηριότητα στα πληροφοριακά μας συστήματα, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση. Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων.

Η κρυπτογράφηση δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου.

Η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων. Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία μας.

Ωστόσο, είναι σημαντικό να διευκρινίσουμε ότι το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes), γεγονός που υποδηλώνει ότι η διαρροή είναι περιορισμένης κλίμακας.

Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή. Τα διαρρεύσαντα αρχεία περιείχαν, σύμφωνα με τις έως τώρα ενδείξεις, προσωπικά δεδομένα σε διάφορες μορφές αρχείων (κατά κύριο λόγο doc, pdf, excel). Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις».

Ενέργειες που έγιναν προς αντιμετώπιση του περιστατικού

«Το Ε.Α.Π. εφάρμοσε όλα τα απαραίτητα μέτρα για να διασφαλίσει την ελάχιστη, δυνατή διαρροή ενώ παράλληλα, συνεργάστηκε, άμεσα, με την Εθνική Αρχή Κυβερνοασφάλειας, τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Πιο συγκεκριμένα:

  • Από την πρώτη στιγμή του συμβάντος (25/10/2024) ενημερώθηκε τόσο η Εθνική Αρχή Κυβερνοασφάλειας όσο και η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η ενημέρωση είναι συνεχής.
  • Γνωστοποιήθηκε, έγκαιρα, το περιστατικό στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η αρχική δήλωση επικαιροποιείται ανάλογα με τα δεδομένα.
  • Δημιουργήθηκε Ομάδα Διαχείρισης Περιστατικού.
  • Οι Τεχνικές Υπηρεσίες του Ιδρύματος, σε συνεργασία με εξειδικευμένη εταιρεία, προέβησαν, άμεσα, σε όλες τις ενέργειες για την αντιμετώπιση του περιστατικού και τον περιορισμό των επιπτώσεών του. Πιο συγκεκριμένα, την ίδια ημέρα (25/10/2024), έγινε απομόνωση του συμβάντος (διακοπή λειτουργίας των συστημάτων που επηρεάζονται).
  • Ενημέρωση των υποκειμένων των δεδομένων και παροχή ενδεικτικών οδηγιών για την προστασία των προσωπικών τους δεδομένων.
  • Ενίσχυση της ευαισθητοποίησης του ακαδημαικού και διοικητικού προσωπικού σχετικά με την προστασία των προσωπικών δεδομένων και τους κινδύνους από κυβερνοεπιθέσεις.
  • Ετοιμασία προκήρυξης για ενίσχυση της Τεχνικής Υπηρεσίας με επιπρόσθετο εξειδικευμένο προσωπικό.
  • Κατατέθηκε μηνυτήρια αναφορά κατά αγνώστου και κατά παντός υπευθύνου για την κακόβουλη επίθεση.
  • Έχουν, ήδη, τεθεί σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών μας συστημάτων ενώ βρίσκεται σε εξέλιξη μία συνολική αναβάθμιση της υποδομής μας, η οποία περιλαμβάνει την ενίσχυση των υφιστάμενων μηχανισμών προστασίας και την προσθήκη επιπρόσθετων δικλίδων ασφαλείας.

Για λόγους ασφαλείας, οι ακριβείς, τεχνικές ενέργειες που έχουν, ήδη, ληφθεί ή προγραμματιστεί να πραγματοποιηθούν δε μπορούν να δημοσιοποιηθούν.

Ενδεχόμενες συνέπειες της διαρροής για τα υποκείμενα των δεδομένων

  • Μία διαρροή δεδομένων μπορεί να έχει πιθανές συνέπειες για τα υποκείμενα των δεδομένων, όπως:
  • Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
  • Απόπειρες απάτης, μέσω email ή τηλεφώνου.
  • Ενδεχόμενη, μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που μπορεί να οδηγήσουν σε απάτες και κακόβουλη χρήση αυτών των προσωπικών πληροφοριών από επιτήδειους ή εγκληματίες.
  • Κατάχρηση των δεδομένων για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία στοιχείων.
  • Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering).
  • Κακόβουλη χρήση των πληροφοριών, με στόχο απάτη (κυρίως οικονομική).
  • Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam).
  • Παραβίαση της ιδιωτικής ζωής, μέσω ενδεχόμενης διαρροής προσωπικών δεδομένων σε μη εξουσιοδοτημένα άτομα ή φορείς.
  • Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για δόλιες δραστηριότητες.

Σημειώνεται ότι ο πιθανός αριθμός των εμπλεκόμενων υποκειμένων φαίνεται να είναι, αισθητά, περιορισμένος ενώ και οι κατηγορίες των δεδομένων που ενδέχεται να έχουν διαρρεύσει είναι, σημαντικά, λιγότερες από όσες αναφέρονται. Παρ’ όλα αυτά, συνιστούμε σε όλους τους ενδιαφερόμενους να λαμβάνουν τα κατάλληλα μέτρα προστασίας, διασφαλίζοντας τα δικαιώματά τους ως υποκείμενα δεδομένων. Με αυτόν τον τρόπο, όχι μόνο συμμορφώνονται με τις απαιτήσεις προστασίας αλλά και ενισχύουν, ενεργά, την ιδιωτικότητά τους»

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

1 ΣΧΟΛΙΟ

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.