Στις αρχές Μαρτίου, η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης (ΕΕΤΑΑ) υπήρξε θύμα μιας σοβαρής κυβερνοεπίθεσης, κατά την οποία φέρεται ότι κλάπηκαν ευαίσθητα προσωπικά στοιχεία περίπου 2,5 εκατομμυρίων γονέων και βρεφών.
Όπως ανακοίνωσε η διοίκηση της ΕΕΤΑΑ, ύστερα από ερώτηση του ΣΥΡΙΖΑ-ΠΣ, οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση σε ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ και IBAN εκατομμυρίων πολιτών.
Περιγραφή της κυβερνοεπίθεσης
Η ΕΕΤΑΑ ανέφερε ότι «δέχτηκε μια σειρά από κυβερνοεπιθέσεις, οι οποίες έγιναν αντιληπτές την Τρίτη, 3 Μαρτίου 2025, και συνεχίστηκαν έως την Τετάρτη, 5 Μαρτίου 2025, οπότε και είχαν τεκμηριωθεί από τα αρμόδια στελέχη της». Οι επιθέσεις είχαν ως αποτέλεσμα την παραβίαση της εμπιστευτικότητας και διαθεσιμότητας των προσωπικών δεδομένων που διατηρούνταν από την ΕΕΤΑΑ για τους εξής σκοπούς:
- α) Υλοποίηση της Δράσης «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση και πρόσβαση σε υπηρεσίες δημιουργικής απασχόλησης για παιδιά σχολικής ηλικίας, εφήβους και άτομα με αναπηρία» κατά τις περιόδους 2014-2015 έως 2024-2025,
- β) Καλυπτική εφαρμογή της Δράσης «Νταντάδες της Γειτονιάς».
Σύμφωνα με τα στελέχη της Δ/νσης Τεκμηρίωσης και ΤΠΕ της ΕΕΤΑΑ, «η παραβίαση προήλθε από επιθέσεις τύπου “Ransomware” που πραγματοποιήθηκαν σε δύο φάσεις, εκτιμώντας ότι διήρκεσαν από τις πρώτες ώρες του Σαββάτου, 1 Μαρτίου 2025, μέχρι τις 14:00 της Τετάρτης, 5 Μαρτίου 2025».
Η ΕΕΤΑΑ δηλώνει ότι, «λόγω της επίθεσης, οι Βάσεις Δεδομένων των πληροφοριακών συστημάτων που υποστηρίζουν την υλοποίηση:
- α) της Δράσης που προαναφέρθηκε, και
- β) της πιλοτικής εφαρμογής «Νταντάδες της Γειτονιάς»,
κρυπτογραφήθηκαν ή ίσως και να υπεξαχθούν, προκαλώντας παραβίαση της εμπιστευτικότητας και της διαθεσιμότητας των προσωπικών δεδομένων που αφορούν τα υποκείμενα των συγκεκριμένων δράσεων.
Η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης υπογραμμίζει ότι «δεν παρατηρήθηκε παραβίαση της ασφάλειας των ψηφιακών φακέλων που περιέχουν έγγραφα και αποδείξεις σχετικές με τα εν λόγω υποκείμενα».
Κατά την ΕΕΤΑΑ, η παραβίαση περιορίστηκε στους διακομιστές και τις Βάσεις Δεδομένων εντός των εγκαταστάσεών της και δεν επηρεάστηκαν πληροφοριακά συστήματα που φιλοξενούνται από άλλους παρόχους στο cloud.
Ποιους αφορά
Η ΕΕΤΑΑ αναφέρει ότι «η κυβερνοεπίθεση μπορεί να έχει επιτρέψει σε μη εξουσιοδοτημένα άτομα να αποκτήσουν πρόσβαση σε προσωπικά δεδομένα των πολιτών». Παράλληλα, η αποδιοργάνωση των συστημάτων αποτελεί παραβίαση της διαθεσιμότητας των δεδομένων. Το περιστατικό, ωστόσο, δεν σχετίζεται με παραβίαση της ακεραιότητας των παραπάνω δεδομένων, καθώς εκτιμάται ότι εδώ και τώρα είναι δυνατή η αποκατάσταση τους.
Αναφορικά με τη Δράση «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση», οι παραβιάσεις αφορούν κυρίως τα προσωπικά δεδομένα των αιτούντων συμμετοχής, καθώς και των μελών των οικογενειών τους.
Συγκεκριμένα, τα δεδομένα περιλαμβάνουν:
- α) Στο ωφελούμενο πρόσωπο (βρέφος, νήπιο, παιδί σχολικής ηλικίας, έφηβος ή άτομο με αναπηρία),
- β) στον νόμιμο εκπρόσωπο/αιτούντα (γονέας ή πρόσωπο που έχει την επιμέλεια),
- γ) στον νόμιμο εκπρόσωπο Φορέα/Δομής που παρέχει υπηρεσίες,
- δ) στο στέλεχος του Φορέα/Δομής.
Ενδέχεται, η παραβίαση να αφορά 700.000 αιτήσεις και περίπου 2.500.000 υποκείμενα.
Σχετικά με την πιλοτική δράση «Νταντάδες της Γειτονιάς», η παραβίαση περιλαμβάνει τα προσωπικά δεδομένα του ωφελούμενου προσώπου, με εκτίμηση ότι ο συνολικός αριθμός ανέρχεται σε περίπου 700 άτομα.
Κατηγορίες προσωπικών δεδομένων
Όσον αφορά τη δράση «Προώθηση και υποστήριξη παιδιών», τα προσωπικά δεδομένα περιλαμβάνουν και την αναγκαία ταυτοποίηση των υποκειμένων.
Ενημέρωση για την κυβερνοεπίθεση
Η ΕΕΤΑΑ επιβεβαίωσε την κυβερνοεπίθεση που σημειώθηκε από 1 έως 5 Μαρτίου 2025, ελέγχοντας τις συνέπειές της σχετικά με τα προσωπικά δεδομένα των ωφελούμενων προγραμμάτων. Ενημέρωσε τα αρμόδια υπουργεία και τις αρχές για τις ενέργειές της.
Επιπλέον, εξετάζει το ενδεχόμενο παραβίασης των προσωπικών δεδομένων των συνεργατών και προμηθευτών της που συνδέονται με τις δράσεις. Υπενθυμίζει την σημασία της προσοχής και τη λήψη κατάλληλων μέτρων προστασίας κατά του ηλεκτρονικού εγκλήματος.
Παρακαλούμε τους συνεργάτες του να παρακολουθούν τυχόν ύποπτες δραστηριότητες στους λογαριασμούς τους και να διασφαλίσουν την ασφάλεια των προσωπικών τους δεδομένων.
Η ΕΕΤΑΑ διασφαλίζει ότι θα λάβει όλα τα απαραίτητα μέτρα για την ενίσχυση της ασφάλειας των συστημάτων της και την αποφυγή παρόμοιων περιστατικών στο μέλλον.
