Πρόστιμο-μαμούθ 9.250.000 ευρώ σε Cosmote και ΟΤΕ για διαρροή δεδομένων συνδρομητών τους – Το δεύτερο μεγαλύτερο μετά το 2005 (στη Vodafone)

Αρχή Δεδομένων: «Καμπάνα» εισέπραξαν οι εταιρείες Cosmote και ΟΤΕ μετά τη διαρροή δεδομένων κλήσεων συνδρομητών που έγινε στο διάστημα από 1 έως 5 Σεπτεμβρίου 2020 και η οποία γνωστοποιήθηκε στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Πρόκειται για το δεύτερο μεγαλύτερο πρόστιμο σε εταιρεία κινητής τηλεφωνίας, μετά από εκείνο των 73 εκατομμυρίων ευρώ που επιβλήθηκε στη Vodafone με αφορμή την υπόθεση Τσαλικίδη.

Στην απόφασή της, η Αρχή έκρινε πως υπήρξαν σοβαρές παραβάσεις στην ενημέρωση των συνδρομητών, καθώς και ελλιπή μέτρα ασφαλείας, ενώ ιδιαίτερη έμφαση έδωσε και στην κατανομή των αρμοδιοτήτων μεταξύ των δύο εταιρειών όπου δρουν ανεξάρτητα, παρά το γεγονός ότι υποστηρίζουν τα ίδια συστήματα.

Σύμφωνα με την απόφαση επισημαίνεται πως «αφάνειας, λόγω ασαφούς και ελλιπούς ενημέρωσης των συνδρομητών (άρθρο 5 παρ. 1 α) και 13-14 Γενικού Κανονισμού Προστασίας Δεδομένων – ΓΚΠΔ), παράαπό τη διερεύνηση της υπόθεσης προέκυψε παράβαση, εκ μέρους της COSMOTE, της αρχής της νομιμότητας (άρθρα 5 και 6 ν. 3471/2006) και της αρχής της διβαση του άρθρου 35 παρ. 7 ΓΚΠΔ λόγω πλημμελούς διεξαγωγής της εκτίμησης αντικτύπου, παράβαση των άρθρων 25 παρ. 1 λόγω πλημμελούς υλοποίησης της διαδικασίας ανωνυμοποίησης, παράβαση του άρθρου 12 παρ. 1 ν. 3471/2006 λόγω ελλιπών μέτρων ασφαλείας και παράβαση του άρθρου 5 παρ. 2 σε συνδυασμό με τα άρθρα 26 και 28 λόγω μη κατανομής των ρόλων των δύο εταιρειών σε σχέση με την υπό κρίση επεξεργασία. Επίσης, διαπιστώθηκε, εκ μέρους του ΟΤΕ, παράβαση του άρθρου 32 ΓΚΠΔ λόγω ελλιπών μέτρων ασφάλειας σε σχέση με τις υποδομές που χρησιμοποιήθηκαν στο πλαίσιο του περιστατικού.

Για τις διαπιστωθείσες παραβάσεις και λαμβανομένων υπόψη των κριτηρίων του άρθρου 83 παρ. 2 ΓΚΠΔ, η Αρχή επέβαλε στην COSMOTE πρόστιμο συνολικού ύψους 6.000.000 ευρώ, καθώς και κύρωση διακοπής της επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ επέβαλε πρόστιμο ύψους 3.250.000 ευρώ».

eurokinissi

Αρχή Δεδομένων: Στοιχεία 4.792.869 συνδρομητών στα χέρια χάκερ

Ειδικότερα, όπως αναφέρεται στις …2020 έγινε αντιληπτό από τους διαχειριστές των συστημάτων των εταιρειών, μέσω αυτοματοποιημένου μηνύματος ειδοποίησης, πως ο δίσκος αποθήκευσης δεδομένων ενός εξυπηρετητή (server) ξεπέρασε το όριο χωρητικότητας. Έπειτα από διερεύνηση, βρέθηκε αποθηκευμένο στο server αυτό αρχείο μεγέθους 30 GB, με ονομασία …, το οποίο περιείχε δεδομένα κλήσεων συνδρομητών για το χρονικό διάστημα 1/9/2020 – 5/9/2020. Επίσης, διαπιστώθηκε ότι από ώρα … π.μ. έως ώρα … π.μ. της …2020 υπήρξε δικτυακή κίνηση δεδομένων όγκου 30GΒ μεταξύ του server και εξωτερικής διεύθυνσης διαδικτύου (διεύθυνση IP), η οποία ανήκει σε πάροχο υπηρεσιών φιλοξενίας στο διαδίκτυο (Hosting Provider) της Λιθουανίας.

Από την ανάλυση των αρχείων καταγραφής που έκανε η COSMOTE, προέκυψε ότι από την ίδια διεύθυνση IP είχε πραγματοποιηθεί στις …2020 διαδικτυακή πειρατεία (hacking) σε ιστοσελίδα, η οποία φιλοξενείτο σε υποδομή του ΟΤΕ. O hacker κατάφερε να αποκτήσει διαχειριστική πρόσβαση, χρησιμοποιώντας τον κωδικό πρόσβασης ενός διαχειριστή του ΟΤΕ, ο οποίος είχε επέλθει στην κατοχή του hacker στο παρελθόν, μετά από περιστατικό διαρροής κωδικών πρόσβασης της εφαρμογής κοινωνικής δικτύωσης LinkedIn. Στη συνέχεια, ο hacker κατάφερε να εκτελέσει ερωτήματα σε σύστημα Big Data της COSMOTE, από το οποίο εξήγαγε το αρχείο …. Προέκυψε επίσης ότι προς την προαναφερθείσα Λιθουανική διεύθυνση IP, είχαν πραγματοποιηθεί άλλες τέσσερις (4) σημαντικού μεγέθους μεταφορές δεδομένων (μεγαλύτερες από 1GB) από server της COSMOTE και συγκεκριμένα στις …2020 (37GB, 2.4GB και 8.5GB) και στις …2020 (6.1GB). Δεν κατέστη εφικτό να εντοπιστεί το είδος των δεδομένων που διαβιβάστηκαν μέσω της εν λόγω διαδικτυακής κίνησης.

Το αρχείο που διέρρευσε περιείχε δεδομένα κλήσεων των συνδρομητών για το χρονικό διάστημα 1-9-2020 – 5-9-2020 με τα εξής στοιχεία:

Τηλεφωνικός αριθμός Α– Τηλεφωνικός αριθμός B, συντεταγμένες σταθμών βάσης, Διεθνής ταυτότητα εξοπλισμού κινητής τηλεφωνίας (International Mobile Equipment Identity IMEI), Διεθνής ταυτότητα συνδρομητή κινητής τηλεφωνίας (International Mobile Subscriber Identity – IMSI), χρονική σήμανση (timestamp), διάρκεια κλήσης, ένδειξη παρόχου, τιμολογιακό πρόγραμμα συνδρομητή, ηλικία, φύλο, μέσο έσοδο ανά χρήστη (ARPU).

Τα διάφορα σύνολα κλήσεων, που περιέχονται στο ανωτέρω αρχείο, περιλαμβάνουν διαφορετικό συνδυασμό των ανωτέρω δεδομένων. Το αρχείο προέρχεται από το σύστημα μαζικών δεδομένων «BigStreamer». Ειδικότερα, τα δεδομένα αφορούσαν:

Δεδομένα κίνησης, συμπεριλαμβανομένων των συντεταγμένων σταθμών βάσης, για 4.792.869 μοναδικούς συνδρομητές COSMOTE. Εξ αυτών, το αρχείο περιείχε επιπλέον απλά προσωπικά δεδομένα (Ηλικία, Φύλο, Οικονομικό πρόγραμμα, ARPU) για 4.239.213 μοναδικούς συνδρομητές.

ΠΗΓΗ: EUROKINISSI

Οι διαπιστώσεις της Αρχής

«Από την εξέταση των στοιχείων του φακέλου προκύπτουν ευπάθειες σε σχέση με τα μέτρα ασφάλειας, οι οποίες αξιοποιήθηκαν άμεσα ή έμμεσα από τον επιτιθέμενο κατά το περιστατικό…. Διαπιστώνονται συνολικά έξι ευπάθειες, εκ των οποίων η πρώτη αφορά σύστημα το οποίο δεν σχετίζεται με τις υπό εξέταση δραστηριότητες επεξεργασίας – ωστόσο, λόγω ιδίως όχι ορθών ρυθμίσεων στις ενδότερες δικτυακές συνδέσεις, η πρώτη αυτή ευπάθεια αποτέλεσε το εφαλτήριο για τον εισβολέα. Στις λοιπές ευπάθειες, διαπιστώνεται ότι η COSMOTE αποτελεί τον υπεύθυνο επεξεργασίας σε σχέση με τους δύο επιδιωκόμενους σκοπούς του αρχείου που αποτέλεσε αντικείμενο του περιστατικού» επισημαίνει η απόφαση.

«Όσον αφορά τα μέτρα ασφάλειας, διαπιστώνεται ότι η ευθύνη της COSMOTE δεν είναι αποκλειστική. Τα μέτρα ασφάλειας λαμβάνονται, στην πράξη, από κοινού με τον ΟΤΕ. Τούτο προκύπτει από την ανάλυση των ευπαθειών των πολιτικών και των σχετικών ρυθμίσεων που οδήγησαν στην παραβίαση της ασφάλειας σε σχέση με τις εν λόγω επεξεργασίες.

Ο καθορισμός των μέτρων ασφάλειας ανήκει στον ΟΤΕ, σε μεγάλο βαθμό, σε σχέση με τις ευπάθειες με αριθμό 2 (σε μεγάλο βαθμό), 3 (σε μεγάλο βαθμό), 4 (σε μεγάλο βαθμό καθώς σχετίζεται με προσωπικό του ΟΤΕ) και σε μικρότερο βαθμό (αλλά όχι αμελητέο) στις ευπάθειες 5 και 6 που σχετίζονται περισσότερο με τις δραστηριότητες επεξεργασίας της COSMOTE. Όσον αφορά τη λήψη των μέτρων ασφάλειας, καθώς ο καθορισμός τους ανήκει ουσιωδώς τόσο στην COSMOTE, όσο και στον ΟΤΕ, με βαθμό ευθύνης όπως περιγράφεται παραπάνω, προκύπτει παράβαση του άρθρου 12 παρ. 1 του ν. 3471/2006, όσον αφορά την COSMOTE, ενώ για τον ΟΤΕ προκύπτει παράβαση του άρθρου 32 παρ. 1 του ΓΚΠΔ» προστίθεται.

Αρχή Δεδομένων: Μπλέκουν οι… γραμμές των ευθυνών

Το «αγκάθι» πως οι δύο εταιρείες ενώ λειτουργούν από κοινού στα συστήματα, δρουν ανεξάρτητα, γεγονός που οδηγεί να μην είναι σαφές ποιος έχει την ευθύνη τονίζει η ανεξάρτητη Αρχή.

«Οι δύο εταιρείες υποστηρίζουν ότι δρουν από κοινού μεν ως προς τα συστήματα, αλλά ανεξάρτητα η κάθε μία. Το μοντέλο αυτό λειτουργίας, στο οποίο η συνεργασία των εταιρειών είναι μη καταγεγραμμένη, τουλάχιστον σε σχέση με τα μέτρα ασφάλειας, δεν είναι σύμφωνο με την αρχή της λογοδοσίας του άρθρου 5 παρ. 2 του ΓΚΠΔ. Και τούτο γιατί δεν προκύπτει ποιος από τους συνεργαζόμενους φορείς έχει την ευθύνη για την επιλογή των ουσιωδών μέσων της επεξεργασίας, και ως εκ τούτου δεν είναι δυνατό να αποδειχθεί η συμμόρφωση των φορέων σε σχέση με την τήρηση της αρχής της ακεραιότητας και εμπιστευτικότητας που προβλέπεται στο άρθρο 5 παρ. 1 εδάφ. στ του ΓΚΠΔ. Η συνεργασία των δύο φορέων και η κατανομή των αρμοδιοτήτων τους θα έπρεπε να βασίζεται είτε σε συμφωνία με βάση το άρθρο 26 του ΓΚΠΔ σε περίπτωση από κοινού ευθύνης είτε σε σύμβαση ή άλλη νομική πράξη με βάση το άρθρο 28 σε περίπτωση ανάθεσης επεξεργασίας. Όπως προέκυψε κατά την ακρόαση των δύο εταιρειών, τέτοιες συμφωνίες δεν υπάρχουν» σημειώνει.

ΔΕΙΤΕ ΕΔΩ ΟΛΗ ΤΗΝ ΑΠΟΦΑΣΗ

Ακολουθήστε το dikastiko.gr στο Google News και δείτε πρώτοι όλες τις ειδήσεις

Διαβάστε όλες τις τελευταίες ειδήσεις από την Ελλάδα και τον Κόσμο στο dikastiko.gr