Τι ξέρουμε για την επιβολή προστίμου για παραβίαση προσωπικών δεδομένων σε COSMOTE και OTE – Τα νούμερα σοκάρουν

Η Ελληνική αρχή προστασίας ευαίσθητων προσωπικών δεδομένων επέβαλλε το πρόστιμο των 5,850,000 EUR στην COSMOTE και 3,250,000 στον OTE, για την διαρροή χιλιάδων δεδομένων κλήσεων συνδρομητών το χρονικό διάστημα 1/9/2020 – 5/9/2020. Σύμφωνα με την εν λόγω εταιρία, η διαρροή δεδομένων συνδρομητών είναι αποτέλεσμα κυβερνοεπίθεσης.

Η αρμόδια αρχή διερεύνησε τις συνθήκες κάτω από τις οποίες έλαβε χώρα το περιστατικό καθώς και τα εφαρμοζόμενα μέτρα ασφάλειας. Η COSMOTE παραβίασε τουλάχιστον 8 άρθρα του νόμου περί προστασίας προσωπικών δεδομένων (GDPR).

Όπως αναφέρει σε σχετική ανακοίνωσή της η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, «προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διαφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων – ΓΚΠΔ), παράβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία».

Το περιστατικό της παραβίασης

Τον Σεπτέμβριο του 2020 έγινε αντιληπτό από διαχειριστές συστημάτων ασφαλείας της εταιρίας, έπειτα από αυτοματοποιημένο μήνυμα ειδοποίησης, πως ο δίσκος αποθήκευσης ενός server ξεπέρασε το όριο χωρητικότητας.

Ακολούθησε έρευνα κάτω από την οποία προέκυψε πως αρχείο μεγέθους 30GB, το οποίο περιείχε δεδομένα κλήσεων συνδρομητών για το χρονικό διάστημα 1/9/2020 – 5/9/2020, κινήθηκε σε εξωτερική διεύθυνση διαδικτύου (IP) η οποία ανήκει σε πάροχο υπηρεσιών φιλοξενίας (Hosting Provider) της Λιθουανίας.

Έπειτα από έρευνα που διεξήγαγε η εταιρία, προέκυψε ότι η ίδια διεύθυνση IP είχε πραγματοποιήσει νωρίτερα το ίδιο έτος πειρατεία (hacking) σε ιστοσελίδα η οποία φιλοξενείτο σε υποδομή του ΟΤΕ. Ο hacker, αφού κατάφερε να αποκτήσει πρόσβαση σε επίπεδο διαχειριστή, εκτέλεσε ερωτήματα σε σύστημα Big Data της COSMOTΕ και υπέκλεψε τα εν λόγω αρχεία.

Διαπιστώθηκε επίσης ότι προς την προαναφερθείσα Λιθουανική διεύθυνση IP είχαν πραγματοποιηθεί άλλες τέσσερις σημαντικού μεγέθους μεταφορές δεδομένων. Ακόμα δεν έχει καταστεί σαφές το είδος των δεδομένων που μεταφέρθηκαν στις τέσσερις αυτές περιπτώσεις που προηγήθηκαν.

Τα δεδομένα που διέρρευσαν

Σοκ προκαλεί ο τεράστιος αριθμός δεδομένων που διέρρευσαν στην υποκλοπή:

• Δεδομένα τοποθεσίας για 4,792,869 μοναδικούς συνδρομητές της COSMOTE.
• Ηλικία, φύλο, τύπος συνδρομής και ποσά πληρωμών (ΑRPU) για 4,239,213 μοναδικούς συνδρομητές COSMOTΕ.
• MSISDN/CLI (o μοναδικός αριθμός συνδρομής, δείτε εδώ) για 6,939,656 χρήστες άλλων παρόχων τηλεπικοινωνίας οι οποίοι επικοινώνησαν με συνδρομητές της COSMOTE.
• MSISDN, IMEI, IMSI και τοποθεσίες κεραιών κινητής τηλεφωνίας για 281,403 συνδρομητές COSMOTE σε roaming.

Η ενημέρωση από τον ΟΤΕ σχετικά με την παραβίαση

Η εταιρία σχετικά με την κυβερνοεπίθεση εις βάρος της σημειώνει ότι: «εφάρμοζε και εφαρμόζει όλα τα διαθέσιμα μέτρα για τη θωράκιση των υποδομών της. Η ίδια ανίχνευσε την κυβερνοεπίθεση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Όπως αναγνωρίζει και η Αρχή, η εταιρία συνεργάστηκε πλήρως με την ΑΠΔΠΧ (Aρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) και έλαβε μέτρα για την αντιμετώπιση του περιστατικού. Από την πλευρά των πελατών, δεν χρειάστηκε και δεν χρειάζεται να γίνει καμία ενέργεια. Σε κάθε περίπτωση, η εταιρία επιφυλάσσεται κάθε νόμιμου δικαιώματός της. Το φαινόμενο των κυβερνοεπιθέσεων αποτελεί καθημερινότητα παγκοσμίως για όλα τα συστήματα τεχνολογίας εταιριών, οργανισμών και θεσμών. Ο Όμιλος ΟΤΕ αποκρούει κάθε μήνα πάνω από 500.000 κακόβουλες επιθέσεις τρίτων σε συστήματα»,

Mε πληροφορίες από Αρχή Προστασίας Δεδομένων