Πέντε μήνες μετά την στοχευμένη κυβερνοεπίθεση στο ΕΑΠ το Πανεπιστήμιο ενημέρωσε 30.000 φοιτητές και 90.000 απόφοιτους ότι ενδέχεται να έχουν διαρρεύσει στο dark web προσωπικά στοιχεία τους, όπως αριθμός δελτίου ταυτότητας, ΑΦΜ, ΑΜΚΑ, IBAN, υπογραφή τίτλου σπουδών, δεδομένα υγείας, ηλεκτρονική αλληλογραφία, φωτογραφίες και άλλα.
Πρόκειται για κυβερνοεπίθεση που σημειώθηκε στις 24 Οκτωβρίου 2024 και τότε οι χιλιάδες φοιτητές που δεν είχαν πρόσβαση για μέρες στην ηλεκτρονική πλατφόρμα του Πανεπιστημίου πιθανολογούσαν πως πρόκειται για τεχνική βλάβη.
Τα λύτρα 1 εκατ. ευρώ
Όπως αποδείχτηκε η κατάσταση ήταν πιο επικίνδυνη, καθώς χάκερ είχαν «εισβάλλει» στο ηλεκτρονικό σύστημα του Πανεπιστημίου και όπως αναφέρει μιλώντας στα Μακεδονικά Νέα ο πρύτανης του ΕΑΠ Εμμανουήλ Κουτούζης, ζητούσαν λύτρα 1 εκατομμύριο ευρώ μέσω του dark web για να διαπραγματευτούν τα δεδομένα των σπουδαστών.
«Δεν μπήκαμε καν στη διαδικασία διαπραγμάτευσης, αλλά προχωρήσαμε σε μια σειρά από ενέργειες με προσοχή, συνέπεια και ευθύνη για τα προσωπικά δεδομένα των φοιτητών. Βγάλαμε τέσσερις διαδοχικές ανακοινώσεις για το συμβάν» τονίζει ο κ. Κουτούζης, ενώ διευκρινίζει πως ο λόγος δημοσίευσης εκτεταμένης ανακοίνωσης από το Πανεπιστήμιο ήταν η ολοκλήρωση των ενεργειών μήνυσης κατά αγνώστων που υπέβαλε το ΕΑΠ, καθώς και η προστασία φοιτητών και απόφοιτων μέσα από μία σειρά οδηγιών ασφαλείας που δόθηκαν.
Σύμφωνα με τον πρύτανη έχουν ανακτηθεί μόλις 65 gigabytes από τα συνολικά 813 που διέρρευσαν στο dark web, από τα οποία διαπιστώθηκε ότι πρόκειται για πρακτικά συνεδριάσεων, διευθύνσεις κατοικίας και κινητά τηλέφωνα,«οπότε τα μέτρα που έλαβε το Πανεπιστήμιο είναι προληπτικά, εφόσον δεν υπάρχει επιβεβαιωμένη διαρροή».
«Όλο αυτό το διάστημα ξέρουμε ότι στο στόχαστρο κυβερνοεπίθεσης έχουν βρεθεί κι άλλες δημόσιες υπηρεσίες, από νοσοκομεία μέχρι τον ΕΦΚΑ και εκπαιδευτικά ιδρύματα, όπως το Ανοικτό Πανεπιστήμιο Κύπρου και Ολλανδίας» λέει.
«Το σύστημα ασφαλείας που είχαμε ήταν μέτριο. Τώρα έχουμε προσπαθήσει και νομίζω καταφέρει να αναβαθμίσουμε το ηλεκτρονικό μας σύστημα. Πάντως κανείς δεν μπορεί να πει ότι είμαστε απροσπέλαστοι, αν θέλουν να εισχωρήσουν χάκερ με οργανωμένη κυβερνοεπίθεση μπορούν να το κάνουν και σε στρατιωτική βάση δεδομένων» εκτιμά ο ίδιος.
«Δεν έπρεπε να γίνει»
Όπως γνωστοποιεί στα Μακεδονικά Νέα ο απόφοιτος του ΕΑΠ Νικόλαος Μπαλίκος ενημερώθηκαν για τη διαρροή των προσωπικών τους δεδομένων πριν από λίγες μέρες μέσω επίσημης ανακοίνωσης.
«Έπρεπε να πουν από την αρχή ότι έγινε αυτό το σφάλμα και να δώσουν οδηγίες για τις κινήσεις που πρέπει να κάνουμε. Εγώ συμβούλεψα τους συναδέλφους μου να αλλάξουν κωδικούς και να μην απαντούν σε μηνύματα και e-mail από άγνωστους παραλήπτες. Δεν έπρεπε να γίνει αυτό, θα έπρεπε να υπάρχει ασφάλεια, καθώς τα προσωπικά δεδομένα είναι ευαίσθητα για τον καθένα, ωστόσο αν κάποιος λάβει τα βασικά μέτρα δεν έχει τίποτα να φοβάται» ανέφερε ο κ. Μπαλίκος.
Οι τρεις σοβαροί κίνδυνοι
Η διαρροή προσωπικών δεδομένων άνω των 120.000 φοιτητών του Ελληνικού Ανοικτού Πανεπιστημίου στο σκοτεινό διαδίκτυο (dark web) συνιστά ένα ιδιαίτερα κρίσιμο περιστατικό ψηφιακής παραβίασης σύμφωνα με όσα αναφέρει στα Μακεδονικά Νέα η Δρ Ψηφιακής Εγκληματολογίας, Κέλλυ Ιωάννου.
Οι κίνδυνοι που απορρέουν από ένα τέτοιο συμβάν δεν περιορίζονται σε τεχνικό επίπεδο, αλλά επεκτείνονται σε νομικό, κοινωνικό και ψυχολογικό πεδίο, εκτιμά η ίδια.
Συγκεκριμένα όπως διευκτινίζει η κ. Ιωάννου οι κίνδυνοι που απορρέουν είναι οι εξής:
1. Υποκλοπή και Κατάχρηση Ταυτότητας (Identity Theft)
Η διάθεση στοιχείων όπως ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτοτήτων, IBAN και διευθύνσεις, επιτρέπει σε τρίτους να υποδυθούν τα θύματα. Αυτό μπορεί να οδηγήσει:
- σε άνοιγμα τραπεζικών λογαριασμών,
- σε σύναψη συμβάσεων ή δανείων,
- σε καταχρηστική χρήση των στοιχείων για φορολογικές ή ασφαλιστικές απάτες.
Πρόκειται για μορφή ψηφιακής πλαστοπροσωπίας με άμεσες οικονομικές και νομικές συνέπειες για τα θύματα.
2. Εξατομικευμένες Επιθέσεις Κοινωνικής Μηχανικής (Phishing / Social Engineering)
Οι δράστες μπορούν να αξιοποιήσουν τα διαρρεύσαντα email, τηλέφωνα και προσωπικά δεδομένα για την εκτέλεση στοχευμένων επιθέσεων phishing. Με μηνύματα που φαίνονται αξιόπιστα και προσωποποιημένα, επιδιώκουν:
- να αποσπάσουν πρόσθετα διαπιστευτήρια (όπως κωδικούς),
- να εξαπατήσουν το θύμα για μεταφορά χρημάτων,
- ή να εγκαταστήσουν κακόβουλο λογισμικό στις συσκευές του.
Η επιτυχία τέτοιων επιθέσεων αυξάνεται δραματικά όταν βασίζονται σε πραγματικά προσωπικά δεδομένα.
3. Ψυχολογικές και Κοινωνικές Επιπτώσεις
Η έκθεση προσωπικών στοιχείων (π.χ. φωτογραφίες, αρχεία σπουδών, ακόμα και δεδομένα υγείας) μπορεί να προκαλέσει:
- αίσθημα απώλειας ελέγχου επί της ιδιωτικής ζωής,
- άγχος και ανασφάλεια,
- κίνδυνο για στοχοποίηση ή εκβιασμό, ειδικά σε ευάλωτες πληθυσμιακές ομάδες.
Σε αρκετές περιπτώσεις, τα δεδομένα αυτά χρησιμοποιούνται για εκβιαστικά σενάρια (sextortion, doxing κ.λπ.).
Η συγκεκριμένη διαρροή δεν αποτελεί απλώς τεχνική αστοχία, αλλά κρίσιμο περιστατικό ψηφιακής εγκληματικότητας, με πολυεπίπεδες επιπτώσεις.
Χρειάζεται:
- άμεση θεσμική απόκριση,
- ενημέρωση και υποστήριξη των θυμάτων,
- και ενίσχυση της κυβερνοασφάλειας στο σύνολο των εκπαιδευτικών οργανισμών.
