ΕΕΤΑΑ: πολύ σοβαρή υποκλοπή δεδομένων προσωπικού και ευαίσθητου χαρακτήρα

**nnn** · 24-04-25, 09:23

Δελτίο Τύπου:
Σε συνέχεια της από 12 Μαρτίου 2025 ανακοίνωσης που εξέδωσε η ΕΕΤΑΑ κατ’ εφαρμογή του άρθρου 34 του Γενικού Κανονισμού για την Προστασία Δεδομένων (Κανονισμός 2016/679), σχετικά με την κυβερνοεπίθεση (ransomware attack) που δέχθηκε στο διάστημα από 1ης έως και 5ης Μαρτίου 2025 και στο πλαίσιο της πολιτικής πλήρους διαφάνειας και υπεύθυνης ενημέρωσης της Εταιρείας σχετικά με την πορεία διερεύνησης και τις συνέπειες του ως άνω περιστατικού, δια της παρούσας θα θέλαμε να σας ενημερώσουμε συμπληρωματικά για τα εξής:

Όπως είχε ήδη αναφερθεί και στην αρχική ανακοίνωση, αμέσως μετά τη διαπίστωση της κυβερνοεπίθεσης, η ΕΕΤΑΑ προχώρησε άμεσα στην υποβολή σχετικής αναφοράς στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, την Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ) καθώς μήνυσης κατ’ αγνώστων. Κατόπιν τούτων, κλιμάκιο ελέγχου της ΕΑΚ διενήργησε ενδελεχή έλεγχο των συστημάτων και ιχνηλάτηση της παραβίασης, με το πόρισμα να αναμένεται εντός του τρέχοντος μηνός. Επίσης, σε συνέχεια της μηνυτήριας αναφοράς, κλιμάκιο της Αρχής Δίωξης Ηλεκτρονικού Εγκλήματος επισκέφτηκε την ΕΕΤΑΑ, πραγματοποίησε έλεγχο και πήρε καταθέσεις από τα αρμόδια στελέχη της Εταιρείας. Τέλος, σύμφωνα με ενημέρωση των ανωτέρω Αρχών, από ελέγχους που διενεργούνται σε τακτική βάση σε σχετικές περιοχές του σκοτεινού ιστού (dark web), δεν έχει εντοπιστεί κάποια ανάρτηση που να σχετίζεται με την κυβερνοεπίθεση στην ΕΕΤΑΑ.

Παρά το γεγονός ότι η πιθανότητα διαρροής και αξιοποίησης των εν λόγω δεδομένων για μη σύννομους σκοπούς είναι περιορισμένη, θεωρούμε χρέος μας να ενημερώσουμε τους συνεργάτες και προμηθευτές μας (ελεύθερους επαγγελματίες ή ατομικές επιχειρήσεις), οι οποίοι συνήψαν συμβάσεις με την ΕΕΤΑΑ κατά την τελευταία δεκαετία, ότι προσωπικά τους δεδομένα όπως ιδίως ονοματεπώνυμο, ΑΦΜ, στοιχεία διεύθυνσης και επικοινωνίας καθώς και στοιχεία τραπεζικού λογαριασμού (BIC, IBAN), περιλαμβάνονται στα δεδομένα που κρυπτογραφήθηκαν και ενδέχεται να έχουν υποκλαπεί στο πλαίσιο της κυβερνοεπίθεσης.

Προς τούτο, κρίνουμε σκόπιμο να ευαισθητοποιήσουμε τους ανωτέρω συνεργάτες μας αλλά και όλους όσοι λαμβάνουν γνώση του παρόντος, σχετικά με τους κινδύνους που συνδέονται με την παράνομη χρήση των προσωπικών τους δεδομένων καθώς και την αναγκαιότητα λήψης κατάλληλων μέτρων προστασίας έναντι του ηλεκτρονικού εγκλήματος.

Ενδεχόμενες συνέπειες της κακόβουλης χρήσης των προσωπικών δεδομένων περιλαμβάνουν ιδίως:

Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία.
Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
Απόπειρες απάτης, μέσω email ή τηλεφώνου.
Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering).
Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam).

Προς τούτο, σας συνιστούμε να ακολουθείτε τις εξής καλές πρακτικές:

Αλλάξτε (και αλλάζετε τακτικά) τους κωδικούς πρόσβασης στους λογαριασμούς σας, αποφεύγοντας τη χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες.
Χρησιμοποιείτε ισχυρούς κωδικούς, με τουλάχιστον 10 χαρακτήρες που να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων.
Να είστε προσεκτικοί με emails ή τηλεφωνικές κλήσεις που ζητούν προσωπικά στοιχεία ή οικονομικές πληροφορίες.
Μην ανοίγετε συνδέσμους σε άγνωστους ιστότοπους και μην κατεβάζετε συνημμένα από άγνωστες ή ύποπτες πηγές.
Παρακολουθείτε τις συναλλαγές σας για τυχόν μη εξουσιοδοτημένες κινήσεις και ενημερώστε, άμεσα, την τράπεζά σας, σε περίπτωση ύποπτης δραστηριότητας.
Χρησιμοποιήστε λογισμικό προστασίας από κακόβουλο λογισμικό και διατηρήστε το ενημερωμένο.
Ρυθμίστε τις υπηρεσίες που χρησιμοποιείτε ώστε να λαμβάνετε ειδοποιήσεις για ύποπτες συνδέσεις ή δραστηριότητα στους λογαριασμούς σας και ενημερώστε άμεσα τον οικείο πάροχο εφόσον διαπιστώσετε τέτοιο περιστατικό.

Είναι γεγονός ότι οι κυβερνοεπιθέσεις αλλά και οι εν γένει απειλές που συνδέονται με το ψηφιακό έγκλημα, αποτελούν μία δυσάρεστη αλλά αναπόδραστη πραγματικότητα, άρρηκτα συνδεδεμένη με τον σύγχρονο τρόπο ζωής. Η ΕΕΤΑΑ κατανοεί πλήρως τις ανησυχίες όλων και ειδικότερα όσων ενδέχεται να έχουν επηρεαστεί από το πρόσφατο περιστατικό ασφαλείας και τους διαβεβαιώνει ότι αυτό αντιμετωπίζεται από την Εταιρεία με τη δέουσα σοβαρότητα και αποφασιστικότητα. Σε αυτό το πλαίσιο και προκειμένου να διασφαλιστεί στον μέγιστο δυνατό βαθμό, αφενός η άμβλυνση των συνεπειών του παρόντος και αφετέρου η αποφυγή της επανάληψης αντίστοιχων περιστατικών στο μέλλον, η ΕΕΤΑΑ προχωρά άμεσα στην υλοποίηση ενός ολοκληρωμένου σχεδίου δραστικής ενίσχυσης της ασφάλειας των συστημάτων της και στην καθολική εφαρμογή αυστηρότερων πρωτοκόλλων ασφαλείας σε όλους τους τομείς της λειτουργίας της.

https://www.eetaa.gr/nea-anakoinosei...ou-charaktira/

**nnn** · 24-04-25, 09:24

Δεν άφησαν και τίποτα

**ipo** · 25-04-25, 22:41

Καλύτερη αντιμετώπιση, πέρα από την ενημέρωση, θα ήταν να πληρώσουν στα θύματα υπηρεσίες identity theft protection.

Οι επιθέσεις ransomware αυξάνονται και πάνε. Τα 2FA και MFA έχουν ήδη δώσει καλές λύσεις στη διαρροή κωδικών, αλλά θα πρέπει να γίνει κάτι και με τα PII, SPII. Ίσως να κρυπτογραφούνται κατευθείαν από τα CRM και να αποκρυπτογραφούνται για ελάχιστο χρόνο, μόνο τη στιγμή επικοινωνίας με τον πελάτη. Αρχίζω να πιστεύω ότι θα πρέπει να βρεθεί κάποιος τρόπος να απαξιωθεί αυτή η απειλή και όχι να στοχεύουμε στην καταστολή ή την απόλυτη ασφάλεια. Να βρεθεί τρόπος να μην έχουν αξία τα στοιχεία για συναλλαγές και να αρχίσουμε να λειτουργούμε όλοι κάπως έτσι:

"There's no such thing as 'secure' any more,"
"The most sophisticated adversaries are going to go unnoticed on our networks,"
"We have to build our systems on the assumption that adversaries will get in,"

https://www.reuters.com/article/tech...-idUSTRE6BF6BZ