ΑΠΟΚΑΛΥΨΗ: Κυβερνοεπίθεση στην ΕΕΤΑΑ - Χάκερς είχαν κωδικούς πρόσβασης από το 2021

Details: Category: CyberSecurity; Written by: Manos Meimarakis; Created: 30 April 2025

Κρίσιμες υποδομές του δημοσίου στον κυβερνοχώρο είναι τρομακτικά ευάλωτες σε κυβερνοπιθέσεις

Investigative Journalist

OSINT | CYBERSECURITY | COUNTERTERRORISM

«The success of intelligence is not the information or even secrets that it collects but the value it adds to decision making»

Η επίθεση στην Ελληνική Εταιρία Τοπικής Ανάπτυξης και Αυτοδιοίκησης προκάλεσε την πιό σοβαρή διαρροή προσωπικών δεδομένων πολιτών στην χώρα τα τελευταία χρόνια και οι δράστες δεν θα είχαν στα χέρια τους προσωπικές πληροφορίες 700.000 οικογενειών και των παιδιών τους, αν η ΕΕΤΑΑ είχε συμμορφωθεί από τον Νοέμβριο του 2024 με την τελευταία νομοθεσία για την ασφάλεια πληροφοριακών συστημάτων (NIS2).

Όπως ανακοίνωσε η ίδια η Ελληνική Εταιρία Τοπικής Ανάπτυξης και Αυτοδιοίκησης, διέρρευσαν προσωπικά αλλά και ευαίσθητα προσωπικά δεδομένα για 2,5 εκατομύρια Έλληνες πολίτες όπως στοιχεία ταυτότητας, διευθύνσεις κατοικίας, ΑΦΜ, IBAN, πληροφορίες οικογενειακής και εργασιακής κατάστασης, εισοδήματα, προσωπικά δεδομένα νηπίων, βρεφών, παιδιών προσχολικής και σχολικής ηλικίας, εφήβων, παιδιών με ειδικές ανάγκες και γονέων.

Σε έγγραφη απάντηση της σε ομάδα βουλευτών έπειτα από ερώτηση τους στην Βουλή για την επίθεση, η ΕΕΤΑΑ ισχυρίσθηκε ότι οι χάκερς εκμεταλλεύθηκαν κενά ασφαλείας σε έναν παλιό σέρβερ (τον οποίο αναγνωρίζουν ότι έπρεπε είχαν αποσύρει… αλλά δεν πρόλαβαν...) και από αυτόν τον σέρβερ οι χάκερς έφτασαν στην βάση δεδομένων.

Αξίζει να σημειωθεί ότι η υποδομή της ΕΕΤΑΑ δεν υποστηρίζεται από συστήματα αντιμετώπισης προηγμένων κυβερνοεπιθέσεων (Ransomware, Infostealers, APTs), όπως απαιτεί ο νέος νόμος για την κυβερνοσαφάλεια στην Ελλάδα. Αν υπήρχε η επίθεση θα είχε αποτραπεί στο πρώτο κιόλας στάδιο της κλιμάκωσης.

Αλλά ούτε οι βάσεις δεδομένων της ΕΕΤΑΑ κρυπτογραφούνταν όπως απαιτούν κανονιστικά πλαίσια ασφάλειας πληροφοριών.

Οι χάκερς έφτασαν στην καρδιά της υποδομής, πήραν την βάση δεδομένων και η ΕΕΤΑΑ, όπως ενημέρωσε τους βουλευτές, το έμαθε από ένα ψηφιακό σημείωμα που άφησαν οι δράστες, αφού πρώτα κρυπτογράφησαν όλα τα δεδομένα ζητώντας λύτρα για να αποκαταστήσουν την βάση δεδομένων.

Χάκερς είχαν τους κωδικούς

Ωστόσο, η ΕΕΤΑΑ δεν αναφέρει το παραμικρό στην απάντηση της στους βουλευτές για το γεγονός ότι… κωδικοί ειδόσου σε web εφαρμογές της ΕΕΤΑΑ έχουν διαρρεύσει στο DarkWeb από το 2021. Ενώ τουλάχιστον μέχρι πριν την επίθεση βάσεις δεδομένων της ΕΕΤΑΑ ήταν δημόσια προσβάσιμες, όπως εντοπίσθηκαν κρίσιμες ενημερώσεις ασφαλείας οι οποίες δεν έγιναν ποτέ, κα. Αυτά είναι μόνο μερικά από τα σοβαρότερα ευρήματα στην έρευνα του policereport.gr για την επίθεση στην ΕΕΤΑΑ.

Δεν είναι σαφές αν η ΕΕΤΑΑ γνώριζε ότι διαπιστευτήρια εισόδου σε εφαρμογές της στον κυβερνοχώρο έχουν διαρρεύσει στο DarkWeb, το πιό πιθανό είναι να είχαν... μαύρα μεσάνυχτα. Καταλαβαίνει κανείς ότι χάκερς ενδέχεται να μπαινόβγαιναν αρκετό καιρό στα συστήματα της ΕΕΤΑΑ πριν κλιμακώσουν την επίθεση τους και υποκλέψουν την βάση δεδομένων με προσωπικές πληροφορίες 2,5 εκατομυρίων πολιτών.

Αλλά ένα συγκεκριμένο εύρημα έχει ιδιαίτερη σημασία, η ΕΕΤΑΑ είχε αναθέσει από το 2022 την προετοιμασία συμμόρφωσης της υποδομής της με το κανονιστικό πλαίσιο ISO 27001 διαχείρισης συστημάτων ασφαλείας πληροφοριών… με δύο απευθείας αναθέσεις… όχι σε μια εταιρία παροχής υπηρεσιών κυβερνοασφάλειας… αλλά σε μια ΙΚΕ συμβούλων επιχειρήσεων… η οποία μεταξύ άλλων οργανώνει και σεμινάρια… πολιτικής προστασίας.

Η ΙΚΕ αυτή έχει καταφέρει να τρυπώσει και σε μερικούς ακόμα δήμους της Αττικής με τον ίδιο τρόπο με απευθείας αναθέσεις δηλαδή και αν κρίνει κανείς από την θέση ασφαλείας στον κυβερνοχώρο που παρουσιάζουν οι δήμου τους οποίους έχει αναλάβει, η ΙΚΕ αυτή πουλά εξειδίκευση την οποία όμως δεν κατέχει... και αυτό φαίνεται.

Η θέση ασφαλείας σε όλους τους δήμους από τους οποίους η ΙΚΕ έχει πάρει απευθείας αναθέσεις για να μετρήσει δήθεν τα ρίσκα τους στον κυβερνοχώρο ή για να τους πουλήσει… προστασία και υπηρεσίες διαχείρισης συμβάντων… είναι αντίστοιχη με αυτή της ΕΕΤΑΑ μέχρι πριν την κυβερνοεπίθεση.

Πάντως, η ευθύνη συμμόρφωσης και λήψης των αποφάσεων για την ασφάλεια υπολογιστικών συστημάτων και πληροφοριών με τον τελευταίο νόμο για την κυβερνοασφάλεια στην Ελλάδα δεν βαραίνει τους «κτηνίατρους» των απευθείας αναθέσεων που εμφανίζονται ως ειδικοί στην κυβερνοασφάλεια,... αλλά τις διοικήσεις των δημοσίων οργανισμών.

Αποζημιώσεις

Η Εθνική Αρχή Κυβερνοασφάλειας, όπως οφείλει να δώσει στις διοικήσεις φορέων και οργανισμών του δημοσίου να καταλάβουν καλά… ότι έχουν και ποινικές και προσωπικές όχι μόνο υπηρεσιακές ευθύνες.

Συνεπώς, η εξέλιξη στην υπόθεση δεν μπορεί να είναι άλλη από το να πέσει βαρύς ο πέλεκυς στην ΕΕΤΑΑ για την προχειρότητα με την οποία αντιμετώπιζαν μέχρι πρόσφατα ζητήματα ασφαλείας πληροφοριών πολιτών.

Ωστόσο, οι πολίτες των οποίων προσωπικά και ευαίσθητα προσωπικά δεδομένα εκτέθηκαν μπορούν να διεκδικήσουν αποζημιώσεις αρκετών χιλιάδων ευρώ. Αυτοί σύμφωνα με την ΕΕΤΑΑ υπολογίζονται σε 700.000 οικογένειες, συνολικά σε 2,5 εκατομύρια πολίτες, όλων σχεδόν των ηλικιών. Δεν έχει γνωστό αν η ΕΕΤΑΑ έχει ενημερώσει τους πολίτες όπως υποχρεούται...