Πέμπτη 3 Φεβρουαρίου 2022

Τι μάθαμε για το χακάρισμα της Cosmote από την απόφαση της Αρχής Προστασίας Δεδομένων

ΟΤΕ και Cosmote καλούνται να πληρώσουν πρόστιμο που ανέρχεται αθροιστικά στα 9,25 εκατ. ευρώ. Αυτή όμως δεν είναι η μόνη είδηση. Από την απόφαση της ΑΠΔΧ μαθαίνουμε άγνωστες μέχρι πρότινος πτυχές της κυβερνοεπίθεσης που έγινε τον Σεπτέμβριο του 2020 κατά του νο1 παρόχου τηλεφωνίας στην Ελλάδα.


Σχεδόν 16 μήνες μετά τη γνωστοποίηση περιστατικού παραβίασης προσωπικών δεδομένων χρηστών κινητής τηλεφωνίας εκ μέρους της ίδιας της Cosmote, η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εξέδωσεΕπιβολή προστίμου για περιστατικό παραβίασης προσωπικών δεδομένων και μη νόμιμη επεξεργασία δεδομένων χθες 31 Ιανουαρίου απόφαση, με την οποίαν επιβάλλει πρόστιμο 6.000.000 ευρώ στην εταιρεία και επιπλέον πρόστιμο ύψους 3.250.000 ευρώ στον ΟΤΕ, για παραβάσεις της ισχύουσας νομοθεσίας από τη μεριά των δύο εταιρειών.

Το πρόστιμο στην Cosmote και τον OTE είναι το μεγαλύτερο που έχει επιβληθεί από την Αρχή Προστασίας Δεδομένων από την έναρξη εφαρμογής του GDPR








Το συγκεκριμένο πρόστιμο είναι το μεγαλύτερο που έχει, γενικότερα, επιβληθεί από την ελληνική Αρχή ως κύρωση, από την έναρξη εφαρμογής του Γενικού Κανονισμού για την Προστασία των Δεδομένων (GDPR). Για τον προσδιορισμό του ύψους του μεταξύ άλλων ελήφθη υπόψιν το γεγονός ότι πρόκειται για δεδομένα που υπόκεινται σε ειδικό απόρρητο, ότι έχουν επιβληθεί στο παρελθόν διοικητικές κυρώσεις από την Αρχή στον OTE, ότι οι δύο εταιρείες συνεργάστηκαν απόλυτα με την Αρχή, ότι η Cosmote προέβη στη γνωστοποίηση του περιστατικού, ότι οι δύο εταιρείες έλαβαν μέτρα για τον περιορισμό και την αντιμετώπιση του περιστατικού και ότι ο κύκλος εργασιών του ομίλου για τη χρήση του 2020 ανήλθε σε 3,258 δισ. ευρώ. Για την επιβαλλόμενη κύρωση λαμβάνεται επίσης υπόψη ότι το περιστατικό αποδίδεται σε αμέλεια, επηρέασε πολύ μεγάλο αριθμό συνδρομητών, χρηστών του παρόχου και συνδρομητών άλλων παρόχων, ο αριθμός των ευπαθειών και ο βαθμός στον οποίον αυτές αποδίδονται στην Cosmote, [...] καθώς και ότι τα μέτρα ασφαλείας αποδείχθηκε ότι ήταν ελλιπή για μεγάλο χρονικό διάστημα.

Η ΑΠΔΠΧ κάνει λόγο μεταξύ άλλων για πλημμελή ανωνυμοποίηση των στοιχείων των συνδρομητών και ελλιπή μέτρα ασφαλείας







Η ΑΠΔΠΧ στην απόφασή της κάνει λόγο μεταξύ άλλων για ασαφή και ελλιπή ενημέρωση των συνδρομητών, πλημμελή διεξαγωγή της εκτίμησης αντικτύπου, πλημμελή υλοποίηση της διαδικασίας ανωνυμοποίησης και ελλιπή μέτρα ασφαλείας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού κυβερνοεπίθεσης.

Στις 45 σελίδες της απόφασης (πλην των τριών εμπιστευτικών παραρτημάτων που δεν δημοσιοποιήθηκαν) πέρα από τις διαπιστωθείσες από την Αρχή παραβάσεις και τον αντίλογο από Cosmote και ΟΤΕ κατά τις ακροάσεις που προηγήθηκαν του προστίμου, διαβάζουμε επίσης πολλές ενδιαφέρουσες πληροφορίες σχετικά με το ίδιο το περιστατικό – το οποίο όπως αποκαλύπτεται δεν ήταν το μοναδικό.

Το χρονικό, η μέθοδος και τα ίχνη των δραστών πίσω από την εξαγωγή πέντε και όχι ενός αρχείων

Η Cosmote γνωστοποιεί εγγράφως στην ΑΠΔΠΧ στις 9 Οκτωβρίου 2020, ότι στις 8 Σεπτεμβρίου έπεσε θύμα κυβερνοεπίθεσηςΠόσο σοβαρή είναι η κυβερνοεπίθεση στην Cosmote και για ποιους;. Πέντε ημέρες μετά, στις 14 Οκτωβρίου πληροφορήθηκε για το περιστατικό και το ευρύ κοινό, με ανακοίνωση στην ιστοσελίδα της εταιρείας κινητής. Άγνωστοι απέσπασαν ηλεκτρονικό αρχείο, το οποίο περιλάμβανε στοιχεία των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής κατά το πενθήμερο 1-5 Σεπτεμβρίου 2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της, τύπο συσκευής, IMSI (15ψήφιος κωδικός ο οποίος χρησιμοποιείται για τη μοναδική αναγνώριση του συνδρομητή στο δίκτυο κινητής τηλεφωνίας), ηλικία, φύλο, ARPU (μέσο έσοδο ανά χρήστη), συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών Cosmote.

Το περιστατικό έγινε αντιληπτό από τις εταιρείες μέσω αυτοματοποιημένου μηνύματος ότι ο σέρβερ ξεπέρασε το όριο χωρητικότητάς του







Η Αρχή ζήτησε απαντήσεις και στοιχεία που έλαβε εντός προθεσμίας από την εταιρεία και κάλεσε εκπροσώπους των Cosmote και ΟΤΕ σε ακρόαση. Από τις πληροφορίες που συγκεντρώθηκαν μαθαίνουμε ότι το περιστατικό έγινε αντιληπτό από τους διαχειριστές των συστημάτων των εταιρειών μέσω αυτοματοποιημένου μηνύματος που έγραφε ότι ο σέρβερ ξεπέρασε το όριο χωρητικότητάς του. Μετά από διερεύνηση βρέθηκε αποθηκευμένο αρχείο μεγέθους 30 GB το οποίο περιείχε δεδομένα κλήσεων συνδρομητών για το χρονικό διάστημα 1-5 Σεπτεμβρίου 2020. Διαπιστώθηκε επίσης κίνηση δεδομένων ίσου όγκου μεταξύ του server της εταιρείας και εξωτερικής διεύθυνσης IP, η οποία ανήκει σε λιθουανικό πάροχο υπηρεσιών φιλοξενίας στο διαδίκτυο (hosting provider), επιβεβαιώνοντας πληροφορίες ρεπορτάζΤι (δεν) γνωρίζουμε έναν χρόνο μετά την κυβερνοεπίθεση στην Cosmote του inside story που δημοσιεύθηκε τον Νοέμβριο του 2021 και ανέφερε ότι τα ίχνη των δραστών της επίθεσης οδηγούσαν στη Λιθουανία.

Επιβεβαιώθηκαν πληροφορίες ρεπορτάζ του inside story του Νοεμβρίου 2021, που ανέφερε ότι τα ίχνη των δραστών της επίθεσης οδηγούσαν στη Λιθουανία







Από την ανάλυση της Cosmote προέκυψε ότι από την ίδια διεύθυνση IP είχε γίνει επίσης το 2020 χακάρισμα σε ιστοσελίδα η οποία φιλοξενείτο σε υποδομή του ΟΤΕ. Ο χάκερ κατάφερε να αποκτήσει διαχειριστική πρόσβαση στο σύστημα της εταιρείας χρησιμοποιώντας τον κωδικό πρόσβασης που είχε ένας διαχειριστής του ΟΤΕ. Ο χάκερ βρήκε το password του υπαλλήλου από παλιότερο περιστατικό διαρροής κωδικών εισόδου στο Linkedin. Στη συνέχεια ο δράστης (με τη βοήθεια εργαλείου επιθέσεων brute-force attackBrute-force attack) κατάφερε να εξαγάγει το αρχείο με τα δεδομένα των χρηστών κινητής τηλεφωνίας. Όπως προέκυψε από την έρευνα της Cosmote, αυτή δεν ήταν η μοναδική επίθεση για εξαγωγή αρχείων, αφού προς τη συγκεκριμένη λιθουανική IP είχαν πραγματοποιηθεί άλλες τέσσερις σημαντικού μεγέθους μεταφορές δεδομένων από servers της Cosmote (37 GB, 2,4 GB, 8,5 GB και 6,1 GB) χωρίς να καταστεί εφικτό από την εταιρεία να εντοπίσει το είδος των δεδομένων που διαβιβάστηκαν.

Ως προς την εμπλοκή του ΟΤΕ, η Cosmote αναφέρει ότι πέραν του γεγονότος ότι η υποδομή την οποία χρησιμοποίησε ο επιτιθέμενος (χάκερ) για να επιτεθεί στην Cosmote ανήκει στον ΟΤΕ, δεν εντοπίζεται άλλη συμμετοχή του οργανισμού στο περιστατικό. Αντίστοιχα και ο ΟΤΕ υποστηρίζει ότι η μόνη εμπλοκή του με το περιστατικό είναι ότι η υποδομή αυτή αποτέλεσε το σημείο εισόδου του επιτιθέμενου, παρότι η εταιρεία είχε λάβει κατάλληλα μέτρα και υποστηρίζει ότι δεν εντοπίζεται καμία πρόσβαση σε δεδομένα συνδρομητών ή πελατών του η οποία να συνιστά περιστατικό παραβίασης δεδομένων και ότι πραγματοποιήθηκαν άμεσα βελτιώσεις στην παραμετροποίηση της υποδομής.

Πάνω από 10 εκατ. οι πληττόμενοι χρήστες

Από το αρχείο αυτό που η εταιρεία γνωρίζει τι ακριβώς περιείχε (και προέρχεται από το σύστημα μαζικών δεδομένων «BigStreamer») τα διάφορα σύνολα κλήσεων περιλαμβάνουν διαφορετικό συνδυασμό δεδομένων.

Ειδικότερα, τα δεδομένα αφορούσαν:

  • Δεδομένα κίνησης, συμπεριλαμβανομένων των συντεταγμένων σταθμών βάσης, για 4.792.869 μοναδικούς συνδρομητές Cosmote. Εξ αυτών, το αρχείο περιείχε επιπλέον απλά προσωπικά δεδομένα (ηλικία, φύλο, οικονομικό πρόγραμμα, μέσο έσοδο ανά χρήστη) για 4.239.213 μοναδικούς συνδρομητές.
  • Τον διεθνή αριθμό σύνδεσης κινητής τηλεφωνίας (Mobile Station International Subscriber Directory Number – MSISDN) και την αναγνώριση καλούντος (Caller identification - CLI) 36.939.656 χρηστών άλλων εγχώριων παρόχων σταθερής και κινητής τηλεφωνίας που κάλεσαν ή κλήθηκαν από συνδρομητές Cosmote.
  • Τον διεθνή αριθμό σύνδεσης κινητής τηλεφωνίας (MSISDN), την διεθνή ταυτότητα εξοπλισμού κινητής τηλεφωνίας (IMEI), διεθνή ταυτότητα συνδρομητή κινητής τηλεφωνίας (IMSI) και συντεταγμένες σταθμών βάσης για 281.403 συνδρομητές περιαγωγής που πραγματοποίησαν κλήσεις μέσω του δικτύου κινητής τηλεφωνίας της Cosmote.

Με άλλα λόγια, ο αριθμός των πληττόμενων από την κυβερνοεπίθεση συνδρομητών, χρηστών ή φυσικών προσώπων, συνολικά, μαζί με τους συνδρομητές ή χρήστες άλλων παρόχων αριθμεί πολλά εκατομμύρια πρόσωπα (πάνω από 10.000.000 αριθμούς). Πρόκειται για νούμερο υπερδιπλάσιο από τις αρχικές εκτιμήσεις πηγών που είχαν μιλήσει στο inside story τον Οκτώβριο του 2020 και έκαναν λόγο για 4-5 εκατ. άτομα. Εύλογα λοιπόν το χακάρισμα της Cosmote μπορεί να θεωρηθεί ως μία από τις μεγαλύτερες υποκλοπές δεδομένων στον χώρο των τηλεπικοινωνιών διεθνώς.

Στην ανακοίνωση της Cosmote μετά το περιστατικό δεν έγραφε πουθενά ότι διέρρευσαν και τα ΙΜΕΙ συσκευών συνδρομητών της






Στην ανακοίνωση της Cosmote μετά το περιστατικό προς το κοινό δεν έγραφεΕνημέρωση 14/10/2020 | Cosmote πουθενά ότι από το χακάρισμα διέρρευσαν και τα ΙΜΕΙ συσκευών συνδρομητών της. Τo IMEI για τα κινητά είναι το ισοδύναμο του αριθμού πλαισίου για τα αυτοκίνητα, δηλαδή είναι ένας μοναδικός 15ψήφιος αριθμόςWhat is IMEI and why should you care? | androidauthority.com για την ταυτοποίηση της συσκευής στο δίκτυο κινητής και είναι χρήσιμο να τον έχει κανείς πρόχειρο σε περίπτωση που του κλέψουνΑπενεργοποίηση κλεμμένων συσκευών κινητών τηλεφώνων μέσω ΙΜΕΙ | ΕΕΤΤ το κινητό ώστε να μπλοκάρει την συσκευή. Επίσης περιλαμβάνει διάφορες πληροφορίες για το κινητό όπως μάρκα, μοντέλο, έτος κυκλοφορίας και προδιαγραφές συσκευής. Καλό είναι να μην μοιραζόμαστε με αγνώστους αυτό το νούμερο διότι μπορεί να χρησιμοποιηθεί για τον γεωεντοπισμό της συσκευής (IMEI tracking).

«Συνήθως τις εταιρείες τηλεπικοινωνιών τις στοχεύουν πάρα πολύ οι nation state hackers» είχε αναφέρει σε προηγούμενο ρεπορτάζ μας για την κυβερνοεπίθεση ένας ειδικός σε θέματα Cyber Threat Intelligence – με την υπόθεση αυτή είχαν συμφωνήσει και άλλες πηγές με τις οποίες είχαμε συνομιλήσει. Οι μυστικές υπηρεσίες διάφορων χωρών, όπως εξηγούσε, έχουν ως στόχο συγκεκριμένα πρόσωπα, αλλά θέλουν μέσω αυτών των δεδομένων να φτιάξουν κύκλους επικοινωνιών, να βρουν δηλαδή με ποιους μιλάνε και σε ποια φυσική τοποθεσία βρίσκονται.

Ο «ανώνυμος» αριθμός του κινητού μπορεί να αρκεί για να ταυτοποιηθεί ο κάτοχός του, εφόσον συνδυαστεί με άλλες βάσεις δεδομένων που έχουν διαρρεύσει







Στα στοιχεία που απέσπασαν οι χάκερς από την εταιρεία κινητής δεν υπήρχε το ονοματεπώνυμο των συνδρομητών, ωστόσο όπως μας είχαν πει και από τη Δίωξη Ηλεκτρονικού Εγκλήματος, ο «ανώνυμος» αριθμός του κινητού (που διέρρευσε) μπορεί να αρκεί για να ταυτοποιηθεί ο κάτοχός του, εφόσον το αρχείο της Cosmote συνδυαστεί με άλλες βάσεις δεδομένων που έχουν διαρρεύσει κατά καιρούς ή άλλα στοιχεία που μπορεί να υποκλέψουν οι δράστες από άλλες πηγές-εταιρείες με πολύ χαμηλότερα επίπεδα ασφαλείας από την Cosmote, όπως π.χ. κάποιο site ηλεκτρονικών αγορών όπου συνήθως ο πελάτης καταχωρεί ονοματεπώνυμο, διεύθυνση, τηλέφωνο και e-mail για την παραγγελία του.

Οι παραβάσεις, οι απαντήσεις και οι πιθανές επόμενες κινήσεις της εταιρείας

Σύμφωνα με τις απαντήσεις της Cosmote στην ΑΠΔΠΧ, στο σύστημα Big Streamer αποθηκεύονται και διατηρούνται, για χρονικό διάστημα τριών μηνών, αρχεία κλήσεων συνδρομητών κινητής τηλεφωνίας (συμπεριλαμβανομένων δεδομένων κίνησης και θέσης) με δύο σκοπούς. Ο πρώτος είναι η εξυπηρέτηση αιτημάτων συνδρομητών που αντιμετωπίζουν προβλήματα/βλάβες στο δίκτυο κινητής τηλεφωνίας, όπως π.χ. απουσία σύνδεσης, κακή ποιότητα σήματος, αποτυχημένες κλήσεις κτλ. Η διάρκεια των τριών μηνών κρίθηκε απαραίτητη, λέει η εταιρεία, προκειμένου να αξιολογηθεί η επαναληψιμότητα και η φύση των προβλημάτων δικτύου που αντιμετωπίζουν οι συνδρομητές κινητής. Η Cosmote αναφέρει ότι το διάστημα των τριών μηνών αναφορικά με την τήρηση του απλού αρχείου προσωπικών δεδομένων επιλέχθηκε με βάση την εμπειρία των εμπλεκομένων στην βλαβοδιαχείριση στελεχών της.

Βασικός σκοπός διατήρησης των αρχείων κλήσεων είναι η εξαγωγή στατιστικών συμπερασμάτων για τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας







Δεύτερος σκοπός είναι η εξαγωγή στατιστικών συμπερασμάτων, τα οποία αξιοποιούνται για τον βέλτιστο σχεδιασμό του δικτύου κινητής τηλεφωνίας. Για παράδειγμα, ανάλογα με τα δημογραφικά χαρακτηριστικά των συνδρομητών που εξυπηρετούνται από έναν συγκεκριμένο σταθμό βάσης και τα έσοδα κάθε σταθμού, δρομολογείται και ο σχεδιασμός της αναβάθμισης του δικτύου στη συγκεκριμένη περιοχή από 3G σε 4G. Για τον σκοπό αυτό τα δεδομένα σχετικά με τις κλήσεις εμπλουτίζονταν σε καθημερινή βάση με απλά προσωπικά δεδομένα (συγκεκριμένα: μέσο έσοδο ανά χρήστη, οικονομικό πρόγραμμα, ηλικία και φύλο) και στη συνέχεια, όπως ισχυρίστηκε η εταιρεία, το συγκεκριμένο αρχείο ανωνυμοποιείται. Για τον περιορισμό του κινδύνου επαναταυτοποίησης των ανώνυμων δεδομένων, ο χρόνος διατήρησής τους περιορίζεται στους 12 μήνες, λέει η Cosmote. Ο χρόνος αυτός κρίνεται απαραίτητος από την εταιρεία, προκειμένου να εξάγονται ορθά συμπεράσματα για τη χρήση του δικτύου, λαμβάνοντας υπόψη ότι τα στοιχεία χρήσης μεταβάλλονται σημαντικά ανάλογα με την εποχή (π.χ. η χρήση αυξάνεται σε τουριστικές περιόδους). Μέχρι τα τέλη Ιανουαρίου 2021 το αρχείο αυτό δημιουργούνταν αφού πρώτα εμπλουτιζόταν το πρώτο «απλό» αρχείο με προσωπικά δεδομένα συνδρομητών και στη συνέχεια στο νέο αρχείο ανωνυμοποιούνταν τα αναγνωριστικά στοιχεία του εκάστοτε συνδρομητή (MSSDN, IMSI, ΙΜΕΙ). Όπως λέει η εταιρεία, κατόπιν επαναξιολόγησης της ανωτέρω διαδικασίας δημιουργίας του δεύτερου αρχείου, αυτή τροποποιήθηκε ώστε να μην διατηρούνται πλέον τα απλά προσωπικά δεδομένα του πρώτου αρχείου. Από τον Φεβρουάριο 2021 πραγματοποιείται ανωνυμοποίηση στο αρχείο των κλήσεων, καθώς και στο αρχείο που περιέχει τα απλά προσωπικά δεδομένα. «Στη συνέχεια τα δύο ανωτέρω αρχεία συνδυάζονται προκειμένου να διαμορφωθεί το δεύτερο αρχείο, το οποίο χρησιμοποιείται για στατιστική επεξεργασία» ισχυρίζεται η εταιρεία.

Κανονικά πρόσβαση στα δεδομένα που διέρρευσαν έχει αρμόδιο προσωπικό της Cosmote και η εταιρεία Intracom, η οποία παρέχει υπηρεσίες ανάπτυξης και τεχνικής υποστήριξης του συστήματος








Κανονικά πρόσβαση στα δεδομένα που διέρρευσαν έχει αρμόδιο προσωπικό της Cosmote – συγκεκριμένα χρήστες από την εξυπηρέτηση πελατών, χρήστες τεχνικής υποστήριξης δικτύου, χρήστες οι οποίοι σχεδιάζουν και υλοποιούν τις λειτουργικότητες που παρέχονται από το σύστημα, οι διαχειριστές του συστήματος από το Τμήμα Network Planning & Analytics Systems – και η εταιρεία Intracom, η οποία παρέχει υπηρεσίες ανάπτυξης και τεχνικής υποστήριξης του συστήματος, ως εκτελούσα την επεξεργασία για λογαριασμό της Cosmote. Απαντώντας σε σχετικό ερώτημα που τέθηκε από την Αρχή κατά τη διάρκεια της ακρόασης, η Cosmote ενημέρωσε ότι κατά μέσο όρο έχει 4.700 αιτήματα ανά μήνα συνδρομητών της (1.500 εκ των οποίων αφορούν θέματα κάλυψης), που αφορούν θέματα βλαβών στο δίκτυο, ενώ το εμπλουτισμένο αρχείο χρησιμοποιείται καθημερινά κατά μέσο όρο 50 φορές, δεδομένου ότι αξιοποιείται για την εξαγωγή στατιστικών συμπερασμάτων, τα οποία εν συνεχεία συμβάλλουν στον αποτελεσματικότερο σχεδιασμό του δικτύου. H Cosmote επίσης αναφέρει ενδεικτικές περιπτώσεις χρήσης του ανώνυμου αρχείου για τον ανωτέρω σκοπό.

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μετά από εξέταση όλων των στοιχείων του φακέλου κατέληξε μεταξύ άλλων στα εξής:

  • Προς τον σκοπό της βλαβοδιαχείρισης θα ήταν επιτρεπτή μόνο η τήρηση περιορισμένου υποσυνόλου δεδομένων κίνησης [...], ενώ δεν υφίσταται νομική βάση στην οποία θα μπορούσε να στηριχθεί η τήρηση του συνόλου των δεδομένων κίνησης επί τρίμηνο, όπως στην εξεταζόμενη υπόθεση.
  • Το αρχείο δεδομένων κίνησης και θέσης όσο και των λοιπών προσωπικών δεδομένων των συνδρομητών με σκοπό την εξαγωγή στατιστικών συμπερασμάτων για σκοπούς ανάπτυξης του δικτύου «εξυπηρετεί έναν σκοπό ο οποίος μπορεί, κατ ́ αρχήν, να επιτευχθεί με χρήση ανωνυμοποιημένων δεδομένων»
  • Κατά τον χρόνο του περιστατικού και νωρίτερα, το αρχείο τηρούνταν σε μη ανωνυμοποιημένη μορφή για διάστημα τριμήνου, μετά την πάροδο του οποίου ακολουθούσε η διαδικασία ανωνυμοποίησης. Κατά τη διάρκεια του τριμήνου, τα εμπλουτισμένα δεδομένα δεν ήταν σε ανωνυμοποιημένη (ούτε ψευδωνυμοποιημένη) μορφή. Αυτό άλλωστε είναι και το αρχείο το οποίο αφορά η διαρροή. [...] Από την ανάλυση της διαδικασίας για την ανωνυμοποίηση των δεδομένων, τόσο αυτής που ίσχυε κατά την επίμαχη περίοδο, όσο όμως και της βελτιωμένης [...] που εφαρμόστηκε στη συνέχεια, προκύπτει ότι τα δεδομένα που εν τέλει χρησιμοποιούνται για τον δεύτερο σκοπό είναι ψευδωνυμοποιημένα και όχι ανωνυμοποιημένα. [...] Συνεπώς, προκύπτει ότι η εφαρμοζόμενη διαδικασία ανωνυμοποίησης του «εμπλουτισμένου» αρχείου, τόσο πριν τον Ιανουάριο του 2021 (μετά την πάροδο τριμήνου) όσο και μετά, δεν διασφαλίζει την ανωνυμία των τηρούμενων δεδομένων, αλλά απλώς την τήρηση προσωπικών δεδομένων σε ψευδωνυμοποιημένη μορφή. [...] Περαιτέρω, δεν υπήρχε καμία ενημέρωση στα υποκείμενα των δεδομένων για αυτήν την επεξεργασία (ήτοι την τήρηση του εμπλουτισμένου αρχείου, σε μη ανωνυμοποιημένη/ψευδωνυμοποιημένη μορφή).
  • Προκύπτουν εξι ευπάθειες σε σχέση με τα μέτρα ασφαλείας, οι οποίες αξιοποιήθηκαν άμεσα ή έμμεσα από τον επιτιθέμενο κατά το περιστατικό. [...] Η πρώτη αφορά σύστημα το οποίο [...] λόγω ιδίως όχι ορθών ρυθμίσεων στις ενδότερες δικτυακές συνδέσεις, [...] αποτέλεσε το εφαλτήριο για τον εισβολέα.
  • Όσον αφορά τα μέτρα ασφαλείας, διαπιστώνεται ότι η ευθύνη της Cosmote δεν είναι αποκλειστική. Τα μέτρα ασφαλείας λαμβάνονται, στην πράξη, από κοινού με τον ΟΤΕ.

Σύμφωνα με την Αρχή Προστασίας Προσωπικών Δεδομένων η απόφασή της μπορεί να προσβληθεί από τις εταιρείες με αίτηση ακυρώσεως στο Συμβούλιο της Επικρατείας. «Μπορεί να ασκηθεί ενώπιον της Αρχής αίτηση θεραπείας, η δυνατότητα άσκησης της οποίας υπάρχει για κάθε απόφαση διοικητικής αρχής, αλλά για να επανεξεταστεί κατ’ ουσίαν η υπόθεση πρέπει να προσκομιστούν στοιχεία τα οποία δεν είχε υπόψη της η Αρχή όταν εξέδωσε την απόφαση. Αυτή είναι η πρακτική την οποία ακολουθεί η Αρχή και η οποία είναι νόμιμη σύμφωνα και με τη νομολογία του Συμβουλίου της Επικρατείας. Ειδικό ένδικο βοήθημα, πέρα από την αίτηση ακυρώσεως στο ΣτΕ, δεν προβλέπεται».

Ρωτώντας σχετικά με την απόφαση της Αρχής την Cosmote, η εταιρεία περιορίστηκε να μας απαντήσει με μία κοινής λήψης ανακοίνωση στην οποία αναφέρει μεταξύ άλλων ότι «η εταιρεία επιφυλάσσεται κάθε νόμιμου δικαιώματός της».

Πηγή

Εικόνα etriantafillou
Σπούδασε κατά λάθος Οικονομική Επιστήμη στην ΑΣΟΕΕ και το 2004 ξεκίνησε να εργάζεται ως οικονομικός συντάκτης στην Κυριακάτικη Ελευθεροτυπία. Το 2010 δημιούργησε την πρώτη αντιγραφή του σατιρικού Τhe Onion, στην Ελλάδα. Παραμένει στον χώρο των ηλεκτρονικών ΜΜΕ. Είναι ανορθόγραφη.

Δεν υπάρχουν σχόλια: