ΜΠΟΡΕΙ ΤΟ ΠΑΓΚΟΣΜΙΟ ΚΥΠΕΛΛΟ 2022 ΝΑ ΟΔΗΓΗΣΕΙ ΣΕ ΠΑΡΑΒΙΑΣΗ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ;

Το Παγκόσμιο Κύπελλο 2022 αποτελεί μία ιστορική στιγμή στη πορεία της διοργάνωσης, καθώς είναι η πρώτη φορά που οι αγώνες της θα διεξαχθούν στη Μέση Ανατολή και ιδίως κατά την χειμερινή περίοδο. Υπολογίζεται πως περίπου 1,5 εκατομμύριο επισκέπτες θα ταξιδέψουν για το Παγκόσμιο Κύπελλο, το οποίο θα διαρκέσει από τις 20 Νοεμβρίου μέχρι τις 18 Δεκεμβρίου. Ωστόσο, ανησυχίες έχουν προκαλέσει οι εφαρμογές που υποχρεούνται να κατεβάσουν οι επισκέπτες στα κινητά τους τηλέφωνα. Τόσο η πολιτική απορρήτου που ακολουθούν όσο και η ευρεία συλλογή προσωπικών δεδομένων των χρηστών τους έχουν προβληματίσει τις Ευρωπαϊκές ρυθμιστικές αρχές.

Συγκεκριμένα, οι αρχές του Κατάρ υποχρεώνουν όσους επισκεφθούν τη χώρα το διάστημα αυτό, να κατεβάσουν στα κινητά τους τηλέφωνα τις εφαρμογές  “Official World Cup app Hayya” και “Covid – tracking app Etheraz” για την ενημέρωση τους σχετικά με τα εισιτήρια των αγώνων, τη δωρεάν πρόσβαση σε μετρό και την ιχνηλάτηση επιβεβαιωμένων κρουσμάτων Covid-19 και των στενών επαφών τους.

Η υποχρεωτική εγκατάσταση αυτών των εφαρμογών στα κινητά τηλέφωνα των επισκεπτών έχει προκαλέσει ποικίλες αντιδράσεις, αφού αδιαμφισβήτητα οι αρχές του Κατάρ ενδέχεται να αποκτήσουν απεριόριστη πρόσβαση τόσο στα προσωπικά δεδομένα όσο και στην τοποθεσία των επισκεπτών. Μάλιστα, οι ειδικοί υποστηρίζουν πώς, αποδεχόμενοι τους όρους χρήσης τους και την Πολιτική Απορρήτου, οι επισκέπτες φαίνεται να παραδίδουν ουσιαστικά όλες τις πληροφορίες των συσκευών τους. Κάνουν επιπλέον λόγο για μία μορφή κατασκοπίας από τις τοπικές αρχές, καθώς με την αποδοχή των όρων αυτών, αυτές θα αποκτήσουν πρόσβαση στα δεδομένα των χρηστών και θα έχουν τη δυνατότητα να διαβάσουν, να διαγράψουν, ακόμα και να αλλάξουν κάποιο περιεχόμενο.

Άλλωστε, σύμφωνα με τη Γαλλική Αρχή Προστασίας Δεδομένων (CNIL), το Κατάρ συγκαταλέγεται στις χώρες με μη επαρκές επίπεδο διαβίβασης δεδομένων. Για αυτό τον λόγο, η CNIL προτείνει στους επισκέπτες να μην κάνουν χρήση των προσωπικών τηλέφωνων τους, αλλά να χρησιμοποιήσουν είτε ένα «κενό» τηλέφωνο είτε ένα παλαιό τηλέφωνο, στο οποίο θα έχει γίνει επαναφορά εργοστασιακών ρυθμίσεων (reset). Η πρόταση αυτή ενθαρρύνεται και από ειδικούς στην ασφάλεια πληροφοριακών συστημάτων, όπως για παράδειγμα από τον υπεύθυνο ασφαλείας του νορβηγικού ραδιοτηλεοπτικού σταθμού NRK, Øyvind Vasaasen. Προς υποστήριξη του ισχυρισμού του σχετικά με την ακαταλληλότητα των εφαρμογών, ο ραδιοτηλεοπτικός σταθμός NRK ζήτησε από δύο ανεξάρτητες εταιρείες παροχής υπηρεσιών συστημάτων ασφαλείας, την Bouvet και την Mnemonic, να  ελέγξουν τις εφαρμογές. Από την πλευρά της Bouvet, υποστηρίζεται ότι η εφαρμογή παρακολουθεί τόσο τη τοποθεσία του χρήστη όσο και των γύρω του, ενώ η Mnemonic τονίζει πως θα υπάρξει σημαντικός αντίκτυπος σε περίπτωση διαρροής των δεδομένων των χρηστών. Ωστόσο, η τεχνική ανάλυση της Mnemonic δεν εντόπισε ενδείξεις που να επιβεβαιώνουν ότι οι Αρχές του Κατάρ μπορούν να παρέμβουν στο περιεχόμενο των συσκευών των χρηστών, παρόλα αυτά μπορεί να μην έχουν προβεί στη διαδικασία αυτή μέχρι στιγμής.

Από την κριτική που έχει ασκηθεί σχετικά με τις συγκεκριμένες εφαρμογές, συμπεραίνεται ότι  σε κάθε περίπτωση αυτές είναι εξαιρετικά παρεμβατικές ως προς την ελεύθερη συγκατάθεση των επισκεπτών του Παγκοσμίου Κυπέλλου ως υποκειμένων των δεδομένων, υπάρχει η δυνατότητα ευρείας πρόσβασης στη λειτουργικότητα των τηλεφώνων, ενώ παράλληλα παραβιάζεται η αρχή ελαχιστοποίησης των δεδομένων. Όπως επισημαίνει και  η εφημερίδα Register «Οι εφαρμογές του Παγκόσμιου Κυπέλλου αποτελούν έναν εφιάλτη για το απόρρητο και την ασφάλεια των δεδομένων».

ΠΑΡΑΒΙΑΣΗ ΔΕΔΟΜΕΝΩΝ 65.000 ΠΕΛΑΤΩΝ ΤΗΣ MICROSOFT

Η εταιρεία SOCRadar που δραστηριοποιείται στον τομέα των διαδικτυακών απειλών αποκάλυψε σε πρόσφατη ανάρτησή της ότι μια παραβίαση δεδομένων πελατών της Microsoft επηρέασε εκατοντάδες χιλιάδες χρήστες σε παγκόσμια κλίμακα. H SOCRadar διαθέτει την πλατφόρμα “Extended Threat Intelligence” μέσω της οποίας παρακολουθεί συνεχώς τις ιστοσελίδες του διαδικτύου, το darknet αλλά και το deep web, για ευπάθειες και διαρροές δεδομένων.

Περιγραφή του περιστατικού παραβίασης

Η διαρροή δεδομένων που πραγματοποιήθηκε στην Microsoft ονομάστηκε από τους ερευνητές BlueBleed Part 1 και εξέθεσε τουλάχιστον 2,4 terabytes δεδομένων που ανήκουν σε 65.000 υποκείμενα δεδομένων σε 111 χώρες. Κατά την ανακοίνωση της  SOCRadar  η διαρροή δεδομένων προήλθε από ένα λανθασμένα ρυθμισμένο χώρο αποθήκευσης (“Azure Blob Storage”) που διατηρούσε η Microsoft σε cloud υποδομή. Αυτή η εσφαλμένη διαμόρφωση του χώρου αποθήκευσης δεδομένων είχε ως αποτέλεσμα την πιθανότητα πρόσβασης σε ορισμένα δεδομένα επιχειρηματικών συναλλαγών που αντιστοιχούν σε αλληλεπιδράσεις μεταξύ της Microsoft και υποψηφίων πελατών, όπως ο σχεδιασμός ή η πιθανή υλοποίηση και παροχή υπηρεσιών από τη Microsoft.

Η SOCRadar χαρακτήρισε το εν λόγω περιστατικό ως την “πιο σημαντική διαρροή B2B” στην πρόσφατη ιστορία της κυβερνοασφάλειας, προειδοποιώντας μάλιστα ότι η παραβίαση αυτή θα μπορούσε να οδηγήσει σε καταπάτηση των διατάξεων της πνευματικής ιδιοκτησίας και σε εκβιασμούς προσώπων και εταιρειών.

Σε μία προσπάθεια προσέγγισης του μεγέθους του υπό συζήτηση περιστατικού, η SOCRadar παρέθεσε αριθμητικά δεδομένα. Συγκεκριμένα ανέφερε ότι η παραβίαση δεδομένων BlueBleed Part I αφορά σε περισσότερα από 335.000 μηνύματα ηλεκτρονικού ταχυδρομείου, 133.000 έργα (projects) και 548.000 δεδομένα χρηστών. Ειδικότερα, τα δεδομένα που διέρρευσαν περιλάμβαναν μεταξύ άλλων ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, περιεχόμενα ηλεκτρονικού ταχυδρομείου (συμπεριλαμβανομένων αρχείων .eml), αριθμούς τηλεφώνου, υπογεγραμμένα έγγραφα πελατών, πληροφορίες χρηστών, παραγγελίες προϊόντων, προσφορές, λεπτομέρειες έργων, τιμολόγια καθώς επίσης και ειδικά έγγραφα (Proof-of-Execution και Statement of Work). Επιπροσθέτως, περαιτέρω  δεδομένα που διέρρευσαν αντιστοιχούν σε τιμοκατάλογους προϊόντων πελατών, αποθέματα πελατών, στρατηγικές πωλήσεων και έγγραφα περιουσιακών στοιχείων πελατών.

Ενέργειες μετά το περιστατικό

Η SOCRadar στο πλαίσιο καταπολέμησης της παραβίασης δεδομένων εις βάρος τον πελατών της έστειλε ειδοποιήσεις στους πελάτες που επηρεάστηκαν και ενημέρωσε τη Microsoft, η οποία διόρθωσε αμέσως το σφάλμα στις προβλεπόμενες παραμέτρους που ήταν σε ισχύ κατά την παραβίαση αυτή. Επιπλέον, η SOCRadar δημιούργησε ένα εργαλείο αναζήτησης παρόμοιο με το “Have I been Pwned” ώστε να δύνανται οι οργανισμοί να προσδιορίσουν αν τα δεδομένα των πελατών τους είναι εκτεθειμένα. Η SOCRadar διέγραψε επίσης τα δεδομένα των πελατών που ενημέρωσε, κατόπιν αιτήματος της Microsoft, αλλά συνέλεξε μεταδεδομένα, συμπεριλαμβανομένων του ονόματος της εταιρείας, του email και του domain name, προς εξυπηρέτηση των πελατών ώστε να έχουν την δυνατότητα να χρησιμοποιήσουν το εργαλείο αναζήτησης εφόσον το επιθυμούν.

Ωστόσο, η εταιρεία δεν κατάφερε να προβλέψει με ακρίβεια για πόσο καιρό ήταν εκτεθειμένα τα δεδομένα των πελατών ή αν κάποιος κακόβουλος φορέας είχε πρόσβαση στις πληροφορίες.

H αντίδραση της Microsoft

Παρ’ όλα αυτά, η Microsoft δήλωσε ότι δεν υπάρχει καμία ένδειξη ότι οι λογαριασμοί ή τα συστήματα των πελατών τέθηκαν σε κίνδυνο λόγω της παραβίασης των δεδομένων.

Επιπλέον, παραδέχτηκε ότι έλαβε πληροφορίες αναφορικά με την ύπαρξη βλάβης ρυθμίσεων στην βάση δεδομένων της, όπου αντιμετωπίστηκε άμεσα  από  την εταιρεία, η οποία πραγματοποίησε και την διαδικασία ενεργοποίησης του ελέγχου ταυτότητας των χρηστών και ενημέρωσης των πελατών όπου κρίνεται ότι επηρεάστηκαν. Συγκεκριμένα, η Microsoft ειδοποίησε τους επηρεαζόμενους πελάτες σχετικά με αυτό το ζήτημα μέσω του κέντρου μηνυμάτων της στις 4 Οκτωβρίου 2022. Επιπροσθέτως ανέφερε ότι το περιστατικό προήλθε από ακούσια και εκ παραδρομής λανθασμένη διαμόρφωση  σε ένα τελικό σημείο που δεν χρησιμοποιείται από το υφιστάμενο οικοσύστημα της Microsoft και ότι σε καμία περίπτωση δεν ήταν αποτέλεσμα ευάλωτης ασφάλειας. Τέλος, εξέδωσε συχνές ερωτήσεις με απαντήσεις για να βοηθήσει τους επηρεαζόμενους πελάτες της να κατανοήσουν τη φύση του περιστατικού και να ενημερωθούν περαιτέρω.

ΚΥΒΕΡΝΟΕΠΙΘΕΣΗ ΣΤΗΝ COSMOTE ΜΕ ΔΙΑΡΡΟΗ ΜΕΓΑΛΟΥ ΟΓΚΟΥ ΔΕΔΟΜΕΝΩΝ ΣΥΝΔΡΟΜΗΤΩΝ

  • Το περιστατικό παραβίασης

Η COSMOTE, ίσως η μεγαλύτερη Εταιρεία σταθερής και κινητής τηλεφωνίας στην Ελλάδα, δέχτηκε μεγάλων διαστάσεων κυβερνοεπίθεση το διάστημα 1-5 Σεπτεμβρίου του 2020, με αποτέλεσμα τη διαρροή δεδομένων τηλεφωνικών κλήσεων χιλιάδων χρηστών. Πιο συγκεκριμένα, πρόκειται για μία μη εξουσιοδοτημένη εξαγωγή αρχείου από το σύστημα της Εταιρείας, η οποία έγινε αντιληπτή μετά από έλεγχο στα συστήματα της COSMOTE.

Η Εταιρεία στο δελτίο τύπου που εξέδωσε σχετικά με το συμβάν αναφέρει μεταξύ άλλων ότι:

«Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI , ηλικία, φύλο, ARPU , συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών.»

Όπως απαιτείται, η Εταιρεία απέκλεισε άμεσα οποιαδήποτε περαιτέρω πρόσβαση στα συτήματά της και προέβη στη λήψη όλων των απαραίτητων μέτρων για να περιορίσει τον κίνδυνο και να ελαχιστοποιήσει τις επιπτώσεις του περιστατικού αυτού παραβίασης δεδομένων. Ενημέρωσε επίσης τις αρμόδιες Αρχές, όπως άλλωστε προβλέπεται από το εθνικό κι ευρωπαϊκό πλαίσιο για την προστασία των δεδομένων.

  • Γιατί αποτελεί μείζον ζήτημα παραβίασης δεδομένων; Πόσο πολύ επηρεάζει την κατάσταση το γεγονός ότι δεν υπεκλάπησαν ονοματεπώνυμα συνδρομητών;

Η τεραστίων διαστάσεων αυτή πρόσβαση μη εξουσιοδοτημένων προσώπων σε αρχείο συνδρομητών της Εταιρείας αφορά τον αριθμό τηλεφώνου, την ημέρα και ώρα πραγματοποίησης της κλήσης και τη διάρκειά της, τον τύπο της συσκευής που χρησιμοποιήθηκε, την IMSI, την ηλικία και το φύλο του συνδρομητή, το ARPU, τις συντεταγμένες σταθμού βάσης και το πρόγραμμα κινητής τηλεφωνίας του συνδρομητή.

Ωστόσο, ακόμα κι εάν στις πληροφορίες που υπεκλάπησαν δεν αναγράφεται το ονοματεπώνυμο του κάθε συνδρομητή, όταν οι υπόλοιπες πληροφορίες που αφαιρέθηκαν συνδυαστούν, μπορούν να επιτρέψουν τον έμμεσο προσδιορισμό του συνδρομητή. Πολλές φορές δε η ταυτοποίηση ενός υποκειμένου εξαρτάται από το ποιος μπορεί να έχει πρόσβαση ακόμα και σε ελάχιστα δεδομένα για αυτόν, αλλά και σε οποιεσδήποτε άλλες πληροφορίες μπορούν να συνδυαστούν με αυτά, οι οποίες εκ πρώτης όψεως δεν οδηγούν στην ταυτοποίηση του υποκειμένου.

Επομένως, συχνά δεν είναι άμεσα προφανές εάν ένα υποκείμενο δεδομένων μπορεί να αναγνωριστεί ή όχι. Στην περίπτωση της COSMOTE λοιπόν, όπου κάποιος υπέκλεψε πληροφορίες από τις οποίες είχαν αφαιρεθεί τα ονόματα και τα επώνυμα των συνδρομητών, θα μπορούσε να είναι εξίσου εύκολο για τον μη εξουσιοδοτημένο πλέον κάτοχο των πληροφοριών να ταυτοποιήσει τον συνδρομητή και την τοποθεσία του, συνδυάζοντας τις υπόλοιπες πληροφορίες που συνέλεξε για αυτόν.

Επομένως, το γεγονός ότι υπάρχει ακόμα και η παραμικρή υποθετική πιθανότητα κάποιος να μπορεί να ανακατασκευάσει τα δεδομένα που διαθέτει με τέτοιο τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να ταυτοποιηθεί, αναδεικνύει έντονα την σημαντικότητα του περιστατικού που έλαβε χώρα.

Δεν θα πρέπει να λησμονηθούν τέλος και οι κοινωνικές συνέπειες μίας τέτοιας παραβίασης, τα στοιχεία των συνδρομητών της οποίας θα μπορούσαν είτε να χρησιμοποιηθούν για διαφημιστικούς σκοπούς είτε να πωληθούν στο σκοτεινό διαδίκτυο (dark web) για πολλές χιλιάδες Ευρώ, όπως συνέβη με τα δεδομένα χρηστών της δημοφιλούς πλατφόρμας Zoom . Για τον σκοπό αυτό, οι συχνοί έλεγχοι σωστής λειτουργίας των συστημάτων ενός οργανισμού, η συνεχής εκπαίδευση των εργαζομένων αλλά και η λήψη επίκαιρων και βέλτιστων ανά περίπτωση μέτρων, αποτελεί το κλειδί για την επίτευξη ενός επαρκούς επιπέδου ασφαλείας.

Top