Στη παραδοχή ότι από την κυβερνοεπίθεση που δέχθηκε τον περασμένο Οκτώβριο διέρρευσαν προσωπικά δεδομένα προχώρησε χθες το Ελληνικό Ανοικτό Πανεπιστήμιο, σημειώνοντας πως η διερεύνηση του περιστατικού συνεχίζεται.
Σε ανακοίνωσή που εξέδωσε ο υπεύθυνος Προστασίας Δεδομένων του Ελληνικού Ανοικτού Πανεπιστημίου, αναφέρεται ότι στις 25 Οκτωβρίου εντοπίστηκε «ύποπτη δραστηριότητα στα πληροφοριακά μας συστήματα, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση».
Όπως επισημαίνεται, κατά την επίθεση το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών, καθώς και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων.
«Η κρυπτογράφηση δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου», αναφέρεται.
Ο όγκος των δεδομένων που διέρρευσε ανέρχεται σε 813 GB, σύμφωνα με τα έως τώρα στοιχεία. Ωστόσο, διευκρινίζεται ότι το εν λόγω μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το ίδρυμα (πολλά TB), γεγονός που υποδηλώνει ότι η διαρροή ήταν περιορισμένης κλίμακας.
Σύμφωνα με τις έως τώρα αναλύσεις, το συγκεκριμένο αρχείο που διέρρευσε δεν είναι εφικτό, στην παρούσα φάση, να ληφθεί ολόκληρο. Αυτό που μπορεί να καταστεί διαθέσιμο για λήψη, είναι αρκετά μικρότερο από το αρχικό σύνολο των δεδομένων που υποκλάπηκαν (περίπου 65 GB έχουν ανακτηθεί).
Τα διαρρεύσαντα δεδομένα
Αναφορικά με τις πιθανές κατηγορίες δεδομένων που ενδέχεται να έχουν επηρεαστεί, το ΕΑΠ παρέθεσε είδη δεδομένων στοιχείων που θα μπορούσαν θεωρητικά να έχουν εκτεθεί.
Ονοματεπώνυμο, Πατρώνυμο / Μητρώνυμο, Ιδιότητα, Στοιχεία Συγγενών, Υπηκοότητα, Φύλο, Ημερομηνία Γέννησης, ΑΦΜ, ΑΜΚΑ, ΑΜ, ΑΔΤ, Υπογραφή (φυσική), Φωτογραφίες, όνομα χρήστη, Δεδομένα Επικοινωνίας (Ταχυδρομική Διεύθυνση, Αριθμός τηλεφώνου (σταθερό & κινητό), Διεύθυνση ηλεκτρονικού ταχυδρομείου (προσωπική & ιδρύματος), ηλεκτρονική αλληλογραφία, Ακαδημαϊκά και Εκπαιδευτικά Δεδομένα & Τίτλοι Σπουδών (Βαθμολογίες και επιδόσεις, Τίτλοι σπουδών, Βεβαιώσεις σπουδών), Δεδομένα Υγείας, Οικονομικά Δεδομένα (IBAN, στοιχεία τιμολόγησης, στοιχεία πληρωμής δαπάνης), Δεδομένα Επαγγελματικής & Ερευνητικής Δραστηριότητας (Βιογραφικό σημείωμα, ερευνητικό / επαγγελματικό / διδακτικό / συγγραφικό έργο), Δεδομένα Αποφάσεων Συλλογικών Οργάνων, αποφάσεις επιτροπών, Δεδομένα Συμβάσεων, Αναδόχων & Προσφορών.
ΣΥΡΙΖΑ: Ανεπάρκεια της κυβέρνησης να αντιμετωπίσει τις κυβερνοεπιθέσεις
«Η παραδοχή του ΕΑΠ, πέντε μήνες μετά, ότι έχουν εντοπιστεί στο dark web τουλάχιστον 65 GB αυτών των προσωπικών δεδομένων, που έχουν ήδη ανακτηθεί από τρίτους, επιβεβαιώνει την ανεπάρκεια της κυβέρνησης να αντιμετωπίσει αποτελεσματικά τις κυβερνοεπιθέσεις και να περιορίσει τις απώλειες όταν αυτές συμβούν», σημειώνει ο ΣΥΡΙΖΑ και προσθέτει:
«Ο ΣΥΡΙΖΑ-ΠΣ είχε προειδοποιήσει, ήδη από τις 26 Νοεμβρίου 2024, στη συζήτηση του νομοσχεδίου για την κυβερνοασφάλεια, για την ανάγκη θωράκισης των κρατικών υποδομών έναντι των ψηφιακών απειλών και την άμεση διερεύνηση της συγκεκριμένης επίθεσης, αφού μεταξύ των σπουδαστών υπάρχουν και στρατιωτικοί, με ό,τι αυτό σημαίνει για τον κίνδυνο εντοπισμού τους από επιβουλευόμενα συμφέροντα».
