Κυβερνοεπίθεση στην ΕΕΤΑΑ: Διέρρευσαν στοιχεία εκατομμυρίων πολιτών

Μεγάλη κυβερνοεπίθεση πραγματοποιήθηκε στις αρχές Μαρτίου στα πληροφοριακά συστήματα της Ελληνικής Εταιρείας Τοπικής Ανάπτυξης και Αυτοδιοίκησης (ΕΕΤΑΑ). Κατά την κυβερνοεπίθεση φέρεται να κλάπηκαν ευαίσθητα προσωπικά δεδομένα έως 2,5 εκατομμυρίων γονέων και βρεφών.

Σύμφωνα με τα στοιχεία που έδωσε η διοίκηση της ΕΕΤΑΑ, έπειτα από σχετική ερώτηση του ΣΥΡΙΖΑ, οι επιτιθέμενοι κατάφεραν να αποσπάσουν μεταξύ άλλων ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ και IBAN εκατομμυρίων πολιτών.

Πώς έγινε η κυβερνοεπίθεση

Σύμφωνα με την ΕΕΤΑΑ, «η εταιρεία δέχθηκε σειρά κυβερνοεπιθέσεων, οι οποίες έγιναν αρχικά αντιληπτές την Τρίτη, 3/3/2025 και συνέχισαν να εκδηλώνονται μέχρι και την Τετάρτη, 5/3/2025, οπότε και τεκμηριωμένα διαπιστώθηκαν από τα αρμόδια στελέχη της Εταιρείας. Το ως άνω γεγονός είχε ως αποτέλεσμα την παραβίαση της εμπιστευτικότητας και διαθεσιμότητας (όχι όμως και της ακεραιότητας) των προσωπικών δεδομένων που τηρούνται από την ΕΕΤΑΑ για τις ανάγκες υλοποίησης:

α) της Δράσης «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης» των περιόδων 2014-2015 έως και 2024-2025 και

β) της πιλοτικής εφαρμογής της Δράσης «Νταντάδες της Γειτονιάς».

Σύμφωνα με τα αρμόδια στελέχη της Δ/νσης Τεκμηρίωσης και ΤΠΕ της ΕΕΤΑΑ που διαπίστωσαν την επίθεση, «η παραβίαση προήλθε από κυβερνοεπιθέσεις της κατηγορίας “Ransomware”, οι οποίες εκδηλώθηκαν σε δύο φάσεις και εκτιμάται ότι διήρκεσε από τις πρώτες πρωινές ώρες του Σαββάτου 1/3/2025 μέχρι και τις 14:00 της Τετάρτης 5/3/2025».

Όπως αναφέρει η ΕΕΤΑΑ, «ως αποτέλεσμα της επίθεσης, κρυπτογραφήθηκαν και ενδεχομένως μεταφορτώθηκαν/υπεκλάπησαν (σύμφωνα με σχετικό σημείωμα που άφησαν οι επιτεθέντες) οι Βάσεις Δεδομένων των Πληροφοριακών Συστημάτων που υποστηρίζουν την υλοποίηση:

α) της Δράσης «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης» των περιόδων 2014-2015 έως και 2024-2025 και

β) της πιλοτικής εφαρμογής της Δράσης «Νταντάδες της Γειτονιάς»,
γεγονός που προκάλεσε παραβίαση της εμπιστευτικότητας και διαθεσιμότητας των προσωπικών δεδομένων των υποκειμένων των εν λόγω Δράσεων».

Η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης επισημαίνει ότι «δεν διαπιστώθηκε παραβίαση της ασφάλειας των φακέλων όπου τηρούνται έγγραφα και παραστατικά που αφορούν στα υποκείμενα των δεδομένων (όπως ιδίως δικαιολογητικά, τιμολόγια, κ.λπ.) που τηρούνται σε ψηφιοποιημένη μορφή (Adobe Acrobat-pdf) στους διακομιστές της ΕΕΤΑΑ».

Επίσης, τονίζει ότι «το πεδίο της εν λόγω παραβίασης περιορίζεται στους διακομιστές και τις Βάσεις Δεδομένων που τηρούνται εντός των εγκαταστάσεων (on-site) της ΕΕΤΑΑ και δεν επεκτάθηκε σε Πληροφοριακά Συστήματα που φιλοξενούνται από άλλους παρόχους στο cloud για την υποστήριξη της υλοποίησης της Δράσης “Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης”».

Ποιοι επηρεάζονται

Σύμφωνα με την ΕΕΤΑΑ: «η κυβερνοεπίθεση ενδέχεται να επέτρεψε σε μη εξουσιοδοτημένα πρόσωπα να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα που τηρεί η ΕΕΤΑΑ, το εν λόγω περιστατικό συνιστά παραβίαση της εμπιστευτικότητας των εν λόγω προσωπικών δεδομένων. Ταυτόχρονα, η θέση εκτός λειτουργίας των εμπλεκόμενων Πληροφοριακών Συστημάτων συνιστά παραβίαση της διαθεσιμότητας των προσωπικών δεδομένων. Τέλος, δεδομένου ότι στην παρούσα φάση εκτιμάται ότι υπάρχει η δυνατότητα επαναφοράς και ανασύστασης των Βάσεων Δεδομένων που επλήγησαν, δεν διαπιστώνεται παραβίαση της ακεραιότητας των παρ’ αυτών τηρούμενων προσωπικών δεδομένων.

Όσον αφορά στη Δράση “Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση καθώς και για τη πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία, σε υπηρεσίες δημιουργικής απασχόλησης”, η παραβίαση αφορά ιδίως στα προσωπικά δεδομένα των αιτούντων για συμμετοχή στο Πρόγραμμα, των ετέρων μελών (συζύγους συντρόφους) καθώς και των ανηλίκων τέκνων αυτών.

Συγκεκριμένα, τα στοιχεία αφορούν:

α) Στο ωφελούμενο πρόσωπο (βρέφος, νήπιο και παιδί προσχολικής εκπαίδευσης καθώς και το παιδί σχολικής ηλικίας, ο έφηβος και το άτομο με αναπηρία, που εμπίπτει στις κατηγορίες και πληρούν τις προϋποθέσεις της εκάστοτε ΚΥΑ προκειμένου να λάβουν «αξία τοποθέτησης» (voucher).

β) Στον νόμιμο εκπρόσωπο/αιτούντα (γονέας ή πρόσωπο που έχει τη γονική μέριμνα ή την επιμέλεια, ο ανάδοχος γονέας, ο επίτροπος ή ο συμπαραστάτης του ωφελούμενου).

γ) Στον νόμιμο εκπρόσωπο Φορέα/Δομής (νόμιμος εκπρόσωπος του Φορέα που παρέχει θέσεις προσχολικής αγωγής και φροντίδας και δημιουργικής απασχόλησης παιδιών ή και ατόμων με αναπηρία, στο πλαίσιο της Δράσης).

δ) Στο στέλεχος Φορέα/Δομής (εργαζόμενος σε Φορέα της παρ. γ) ανωτέρω).
Δεδομένου του εύρους που καλύπτει η περίοδος τήρησης των δεδομένων που παραβιάστηκαν (συνολικά 10 έτη), αδρομερώς υπολογίζεται ότι το πλήθος των αιτήσεων μπορεί να ανέρχεται σε 700.000 και αφορά σε 2.500.000 υποκείμενα περίπου.

Όσον αφορά στην πιλοτική εφαρμογή της Δράσης “Νταντάδες της Γειτονιάς”, η παραβίαση αφορά στα προσωπικά δεδομένα του ωφελούμενου προσώπου (άτομο που έχει την επιμέλεια βρέφους ή νηπίου). Λόγω της πιλοτικής φύσης του έργου, ο συνολικός αριθμός των ως άνω υποκειμένων ανέρχεται στα 700 άτομα περίπου».

Ακολουθήστε το Lykavitos.gr στο Google News
και μάθετε πρώτοι όλες τις ειδήσεις