Αυτές τις μέρες κυκλοφόρησε η απόφαση 4/2022 της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα με την οποία επιβλήθηκαν πρόστιμα εκατομμυρίων στην Cosmote και τον ΟΤΕ.
Σε πολλά ρεπορτάζ των ΜΜΕ η είδηση παρουσιάστηκε σαν “πρόστιμο στην Cosmote γιατί δέχθηκε επίθεση χάκερ”.
Δεν είναι όμως ακριβώς έτσι.
➡️ Η εταιρεία είχε log ΟΛΩΝ των κλήσεων είτε ΑΠΟ είτε ΠΡΟΣ συνδρομητές της (χωρίς ηχητικά) με στοιχεία αποστολέα-παραλήπτη, ηλικία, φύλο, τοποθεσία, αναγνωριστικά συσκευής, μέσο έσοδο ανά χρήστη.
➡️ Τα διατηρούσε για τουλάχιστον 3 μήνες για λόγους “διόρθωσης βλαβών” και για “στατιστικά συμπεράσματα”.
➡️ Ωστόσο, οι πάροχοι τηλεπικοινωνιών ΔΕΝ νομιμοποιούνται να αποθηκεύουν στοιχεία μιας κλήσης, πέρα από όσο χρειάζεται για να μεταδοθεί και να χρεωθεί, και για διόρθωση βλαβών μόνο όταν υπάρχει συγκεκριμένη υποψία ή περιστατικό, και όχι γενικά (εξαιρείται η αποθήκευση για άρση απορρήτου από δικαστικές αρχές).
➡️ Ακόμη κι έτσι, η συσχέτιση με ηλικία, φύλο και οικονομικό πρόγραμμα ήταν ξεκάθαρα άσχετη με τον σκοπό της διόρθωσης βλαβών.
➡️ Η Cosmote συνέχιζε να διατηρεί τα δεδομένα ακόμη και μετά τους 3 μήνες, ισχυριζόμενη ότι τα “ανωνυμοποιούσε”. Εδώ η εταιρεία σφάλλει γιατί έχει κάνει ελλιπέστατη μελέτη αντικτύπου, αλλά θεματάκια εμφανίζει και το σκεπτικό της Αρχής Προστασίας Δεδομένων, αφού στην απόφαση υπονοείται ότι αρκεί η γνώση του “salt” για αντιστροφή hash SHA-256 🙅♂️. Από την άλλη, η Cosmote στην πραγματικότητα χρησιμοποιούσε μόνο pepper αντί salt (δεν ήταν per-row), ενώ αν το hashing ανωνυμοποίησης γινόταν πχ. μόνο στον αριθμό τηλεφώνου (δεν έχει διευκρινιστεί), το search space είναι ελάχιστο (10⁸-10¹⁴) για precomputation attack.
➡️ Όσον αφορά το χακάρισμα, η επίθεση έγινε σε μηχάνημα του ΟΤΕ, από εκεί αποκτήθηκε πρόσβαση σε κοινό μηχάνημα ΟΤΕ-Cosmote, και έφτασε στο μηχάνημα που περιείχε τις κλήσεις. Η Αρχή επέπληξε τις δύο εταιρείες για χρήση κοινών συστημάτων, χωρίς να έχουν χωρίσει με συμβόλαιο τις αρμοδιότητες της καθεμίας.
Εν τέλει, μόνο τα 150 χιλ. € του προστίμου αφορούσαν τα μέτρα ασφαλείας για την Cosmote, τα υπόλοιπα 5,7 εκ. ήταν για παράνομη επεξεργασία δεδομένων και πλημμέλεια στα καθήκοντα GDPR. Η Αρχή διέταξε τη διαγραφή όλων των δεδομένων και τη διακοπή περαιτέρω επεξεργασίας.
Σχετικές πηγές:
- Επιβολή προστίμου για περιστατικό παραβίασης προσωπικών δεδομένων και μη νόμιμη επεξεργασία δεδομένων, Απόφαση 4/2022, ΑΠΔΠΧ, 27 Ιανουαρίου 2022
- Τι (δεν) γνωρίζουμε έναν χρόνο μετά την κυβερνοεπίθεση στην Cosmote, Ελίζα Τριανταφύλλου, Inside Story, 12 Νοεμβρίου 2021