Η είδηση της μεγάλης έκτασης «κυβερνοεπίθεσης» στο δίκτυο κινητής τηλεφωνίας της Cosmote, στις αρχές του περασμένου Σεπτέμβρη, είναι γνωστή από χθες το απόγευμα, καθώς η ίδια η εταιρεία τη γνωστοποίησε με ανακοίνωσή της.
Γράφει ο Γιάννης Λεονταρης
Σύμφωνα με την εταιρεία, τα υποκλαπέντα δεδομένα αφορούν συνδρομητές κινητής τηλεφωνίας που πραγματοποίησαν ή δέχθηκαν κλήσεις το πενθήμερο 1 έως 5/9/2020, ενώ δίνει ορισμένες πληροφορίες για το ποιά στοιχεία υπεκλάπησαν και ποιά παρέμειναν ασφαλή.
Ποια στοιχεία υπεκλάπησαν
Σύμφωνα με την Cosmote, τα στοιχεία που υπεκλάπησαν αφορούν στον αριθμό του τηλεφώνου, στην ημέρα και την ώρα πραγματοποίησης της κλήσης και τη διάρκειά της, στον τύπος της συσκευής του συνδρομητή, στον κωδικό IMSI (ο κωδικός IMSI (International Mobile Subscriber Identity) είναι ο μοναδικός 15ψήφιος κωδικός που χρησιμοποιείται για τη μοναδική αναγνώριση του συνδρομητή στο δίκτυο κινητής τηλεφωνίας), στην ηλικία, στο φύλο, στο ARPU (σ.σ. Average Revenue Per User), στις συντεταγμένες του σταθμού βάσης που εξυπηρέτησε την κλήση και στο πρόγραμμα κινητής των συνδρομητών της COSMOTE.
Πέραν αυτών, οι πληροφορίες που υπεκλάπησαν περιείχαν και το σταθερό ή κινητό νούμερο συνδρομητών άλλων δικτύων που κάλεσαν, ή δέχτηκαν κλήση, από τους συνδρομητές κινητής της Cosmote.
Ποιά στοιχεία είναι ασφαλή
Σύμφωνα με την εταιρεία, οι hackers δεν απέκτησαν πρόσβαση στα παρακάτω:
– Περιεχόμενο κλήσεων
– Περιεχόμενο μηνυμάτων (SMS)
– Ονοματεπώνυμο ή διεύθυνση συνδρομητή
– Κωδικοί πρόσβασης, ή δεδομένα τραπεζικών καρτών ή λογαριασμών.
Σύμφωνα επίσης με την εταιρεία, δεν απαιτείται καμία ενέργεια από τους συνδρομητές της, διευκρινίζει ωστόσο πως εάν κάποιος συνδρομητής της θέλει περισσότερες πληροφορίες, μπορεί να τις ζητήσει ακολουθώντας τη διαδικασία ταυτοποίησης όπως αυτή περιγράφεται στην ιστοσελίδα της.
Ο κανονισμός GDPR και τα ερωτήματα που αναμένουν απάντηση
Από τις 25 Μαΐου 2018 έχει τεθεί σε ισχύ ο Κανονισμός 2016/679 της ΕΕ, ευρύτερα γνωστός ως Γενικός Κανονισμός για την Προστασία Δεδομένων (General Data Protection Regulation – GDPR), ο οποίος θεσπίζει πολύ συγκεκριμένες διαδικασίες για το «χειρισμό» των θεμάτων που αφορούν προσωπικά δεδομένα, τόσο σε ότι αφορά στις σχετικές εσωτερικές διαδικασίες των εταιρειών, όσο και στην ενημέρωση των αρμόδιων Αρχών, ενώ προβλέπει επίσης εξαιρετικά μεγάλα πρόστιμα σε περίπτωση που ο διαχειριστής των δεδομένων (στη συγκεκριμένη περίπτωση, η Cosmote) δεν ακολουθήσει τις προβλεπόμενες διαδικασίες ή δεν ενημερώσει έγκαιρα τις αρμόδιες Αρχές.
Τις διαδικασίες αυτές ακολούθησε η Cosmote, όπως η ίδια ανέφερε, ενώ πρόσθεσε ότι «τα συστήματα κυβερνοασφάλειας της εταιρείας αποκρούουν κάθε μήνα πάνω από 500 χιλιάδες κακόβουλες επιθέσεις τρίτων και επιθέσεις άρνησης υπηρεσιών (DDoS).».
Σε επικοινωνία του Documento με την εταιρεία, δε στάθηκε δυνατό να διευκρινιστεί εάν τα υποκλαπέντα στοιχεία αφορούν όλους τους συνδρομητές κινητής της εταιρείας που έκαναν ή δέχτηκαν κλήσεις κατά το διάστημα 1 – 5/9/2020, ή μέρος αυτών. Η διατύπωση της ανακοίνωσης τη εταιρείας δε βοηθά στην εξαγωγή ασφαλούς συμπεράσματος.
Επίσης, κατά την επικοινωνία με την εταιρεία προέκυψε ότι μέχρι αυτή τη στιγμή δεν έχει υπάρξει οποιαδήποτε προσωποποιημένη ενημέρωση όσων συνδρομητών κινητής έχουν «εκτεθεί» (μέσω SMS, mail ή άλλου τρόπου) και δεν είναι γνωστό εάν θα υπάρξει, σημειώνεται ωστόσο ότι όσοι συνδρομητές ενδιαφέρονται μπορούν να πάρουν σχετική προσωποποιημένη πληροφόρηση από την εταιρεία, όπως αναφέρθηκε πιο πάνω.
Αυτό που μένει ακόμα να διευκρινιστεί, είναι κάποιες περισσότερες «τεχνικές» λεπτομέρειες αναφορικά με τον τρόπο που έγινε η «κυβερνοεπίθεση».
Ο τεράστιος όγκος των υποκλαπέντων στοιχείων δείχνει πως πρόκειται για μία ιδιαίτερα καλά οργανωμένη επίθεση που ο σχεδιασμός της πήρε αρκετό καιρό, ενώ ειδικοί σε θέματα ψηφιακής ασφάλειας ανέφεραν στο Documento ότι είναι εξαιρετικά πιθανό (αν όχι και το πιθανότερο) οι hackers να είχαν «εσωτερική» βοήθεια καθώς, όπως είπαν, σε εταιρείες τέτοιου μεγέθους υπάρχουν πολλές ασφαλιστικές δικλίδες ακριβώς για να αποφευχθούν τέτοιες «διαρροές» δεδομένων, και η «παράκαμψη» τόσων ασφαλιστικών δικλίδων «δείχνει» βοήθεια από «μέσα».
Η χρησιμότητα των υποκλαπέντων δεδομένων
Η ίδια η Cosmote αναφέρει ότι τα στοιχεία που υπεκλάπησαν «χρησιμοποιούνται από την εταιρεία για τη βελτιστοποίηση του δικτύου και των παρεχόμενων υπηρεσιών».
Από τη στιγμή, σύμφωνα με την εταιρεία, δεν υπεκλάπησαν δεδομένα που αφορούν σε κωδικούς τραπεζικών καρτών και λογαριασμών, τότε θα πρέπει να αποκλειστεί η χρήση των παραπάνω στοιχείων για τραπεζικές απάτες και «ηλεκτρονική» κλοπή χρημάτων.
Το είδος ορισμένων υποκλαπέντων στοιχείων (τηλεφωνικός αριθμός, ηλικία, φύλο, πρόγραμμα κινητής του συνδρομητή) «παραπέμπουν στη χρήση τους για δημιουργία ενός «προφίλ» των συγκεκριμένων χρηστών, το οποίο στη συνέχεια μπορεί να χρησιμοποιηθεί για τη σύνταξη ηλεκτρονικών καταλόγων συνδρομητών κατά ηλικία, φύλο, και πρόγραμμα κινητής που έχουν.
Αυτοί οι ηλεκτρονικοί κατάλογοι πωλούνται ακόμα και σήμερα στη «μαύρη αγορά» έναντι «σεβαστού» αντιτίμου, και χρησιμοποιούνται κυρίως από εταιρείες που κάνουν «telemarketing» διάφορων προϊόντων ή υπηρεσιών, και θέλουν να γνωρίζουν τα παραπάνω στοιχεία του κοινού που στοχεύουν, ώστε να κάνουν καλύτερη στόχευση στην επικοινωνία τους με τους ανυποψίαστους πολίτες.
Σημειώνεται ότι ο κανονισμός GDPR απαγορεύει «δια ροπάλου» τη συλλογή και χρήση δεδομένων όπως αυτά που υπεκλάπησαν χωρίς τη ρητή συναίνεση των κατόχων των δεδομένων αυτών, και προβλέπει ιδιαίτερα αυστηρές ποινές για τους παραβάτες.
Επειδή, για το λόγο αυτό, η σύνταξη τέτοιων ηλεκτρονικών καταλόγων είναι ιδιαίτερα χρονοβόρα, δαπανηρή και αμφίβολη στο κατά πόσο μπορεί να είναι ολοκληρωμένη (καθώς είναι ιδιαίτερα δύσκολη η συλλογή προσωπικών δεδομένων με νόμιμο τρόπο), αρκετοί είναι εκείνοι που επιζητούν τον παράνομο τρόπο απόκτησης τέτοιων καταλόγων, οι οποίοι φυσικά μπορούν να συνταχθούν μόνο μετά από παράνομη υποκλοπή δεδομένων από τους νόμιμους διαχειριστές τους…
Τί μπορούν να κάνουν οι συνδρομητές
Όπως αναφέρθηκε, η εταιρεία σημειώνει ότι οι συνδρομητές της δε χρειάζεται να κάνουν κάτι διότι από τη στιγμή που εντόπισε την υποκλοπή (στις 8/9, λίγη ώρα πριν τον έλεγχο των συστημάτων, όπως η ίδια αναφέρει) αποκατέστησε την ασφάλεια των διακινούμενων δεδομένων.
Εάν ωστόσο ένας συνδρομητής θέλει να μάθει πιο αναλυτικές πληροφορίες για τα δεδομένα του, αρχικά ακολουθεί τη διαδικασία που αναφέρεται στη σχετική ιστοσελίδα της εταιρείας, και σε περίπτωση που δεν ικανοποιηθεί από την απάντηση της εταιρείας, μπορεί να προχωρήσει σε σχετική καταγγελία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ακολουθώντας τις οδηγίες που αναφέρονται στην ιστοσελίδα της. Σημειώνεται πω η ίδια η Αρχή αναφέρει ότι ο ενδιαφερόμενος πρέπει πρώτα να απευθυνθεί στον υπεύθυνο επεξεργασίας των δεδομένων (στη συγκεκριμένη περίπτωση, στην Cosmote), πριν υποβάλλει σχετική καταγγελία στην Αρχή.
