Της Ελισάβετ Γεωργίου
Δύο σημαντικές διαδικτυακές υπηρεσίες του Κράτους εδώ και μήνες παρουσιάζουν πολύ σοβαρά κενά ασφαλείας. Η ανακάλυψη έγινε τυχαία από ειδικό Κυβερνοασφάλειας, ο οποίος ενημέρωσε αμέσως τις εμπλεκόμενες υπηρεσίες και τους διαχειριστές, χωρίς ωστόσο κάποιο αποτέλεσμα. Στην μια περίπτωση δεκάδες χιλιάδες εγγραφές προσώπων είναι εκτεθειμένες. Το 24news αν και γνωρίζει τις δύο επηρεαζόμενες υπηρεσίες επιλέγει να μην τις κατονομάσει για να αποτραπεί η τυχών εκμετάλλευση των πληροφοριών από επιτήδειους.
Η ανακάλυψη
Πρόκειται για δύο βασικές κυβερνητικές πύλες που χρησιμοποιούνται καθημερινά από δεκάδες χιλιάδες πολίτες προκειμένου να υποβάλλουν τις αιτήσεις τους. Εντύπωση προκαλεί το γεγονός ότι ο ειδικός σε θέματα Κυβερνοασφάλειας ανακάλυψε με μια απλή αλληλεπίδραση με τις εν λόγω ιστοσελίδες τα σοβαρά κενά ασφαλείας.
Πρώτη Περίπτωση: Σφάλμα ασφαλείας σε Κυβερνητική Ιστοσελίδα
Σεπτέμβριος 2024, κατά τη διάρκεια υποβολής αίτησης σε ιστοσελίδα του Κράτους, ο ερευνητής εντόπισε ένα κρίσιμο σφάλμα το οποίο αφήνει εκτεθειμένη την ιστοσελίδα. Βαθμολογεί μάλιστα το σφάλμα στον μέγιστο βαθμό επικινδυνότητας για ενδεχόμενη εκμετάλλευση του κακόβουλα, με σκοπό την υποκλοπή προσωπικών δεδομένων ή ακόμα και παραβίασης ολόκληρο του δικτύου.
Ειδικοί επισημαίνουν ότι η περίπτωση αυτή θα έπρεπε να έχει αντιμετωπιστεί με μέγιστη προτεραιότητα.
Η προσπάθεια του να επικοινωνήσει σε αυτή την περίπτωση με τους ιδιοκτήτες της ιστοσελίδας ναυάγησε, όταν έλαβε την απάντηση ότι ο διαχειριστής της ιστοσελίδας έχει συνταξιοδοτηθεί και ακόμα «δεν έχουμε βρει κάποιον άλλον».
Έκτοτε έγιναν πολλές υπενθυμίσεις από την αρχή ψηφιακής ασφάλειας. Το 2025, ανέλαβε εξωτερική εταιρεία να λύσει το πρόβλημα. Τον Ιούνιο έγιναν κάποιες προσπάθειες χωρίς αποτέλεσμα. Σύμφωνα με πληροφορίες, στον τελικό έλεγχο που έγινε πριν από λίγες ημέρες, τα κενά ασφαλείας διαπιστώθηκε ότι παραμένουν και γι' αυτό λήφθηκε απόφαση για λήψη μέτρων.
Δεύτερη Περίπτωση: Προσωπικά Δεδομένα σε Κυβερνητική Πύλη
Η δεύτερη περίπτωση αφορά Κυβερνητική πύλη στην οποία σύμφωνα με τον ειδικό για θέματα ασφάλειας του διαδικτύου, μια απλή λειτουργία αναζήτησης αποκάλυπτε προσωπικά στοιχεία πολιτών όπως: ονόματα, αριθμούς διαβατηρίων, ταυτότητες, ημερομηνίες γέννησης και πληροφορίες εργασίας. Δεκάδες χιλιάδες εγγραφές είναι προσβάσιμες σε οποιονδήποτε χρησιμοποιεί την υπηρεσία.
Η καταγγελία έφθασε σύμφωνα με πληροφορίες, στην αρχή ψηφιακής ασφάλειας στις 8 Μαΐου, με την αρχή να δίνει οδηγίες στον εμπλεκόμενο κρατικό οργανισμό για αντιμετώπιση του προβλήματος.
Η επιβεβαίωση των πληροφοριών ήρθε και μέσα από τις δηλώσεις στο ΡΙΚ του Γιώργου Μιχαηλίδη Επιτρόπου Επικοινωνιών και Επικεφαλής Αρχής Ψηφιακής Ασφάλειας:
«Ναι υπάρχουν δύο περιπτώσεις ιδρυμάτων που μας έχει κοινοποιηθεί η πληροφόρηση για πιθανές ευπάθειες τις οποίες και έχουμε ελέγξει. Ήδη έχουμε επικοινωνήσει, υπήρξε διαβούλευση επικοινωνία και με τους δύο οργανισμούς και η επόμενη διαδικασία είναι να μπούμε σε διαδικασία συμμόρφωσης… ουσιαστικά φεύγουμε πλέον από το καθαρά τεχνικό που μιλούν οι τεχνικοί περνούμε πλέον στο πιο νομικό, που πλέον μιλούμε για χρονοδιαγράμματα υλοποίησης κάποιων πραγμάτων και μπορούμε να καταλήξουμε είτε σε συστάσεις είτε ακόμα και σε πρόστιμο. Αλλά βεβαίως αυτό που θα ήθελα να πω μετά βεβαιότητάς, ο σκοπός μας δεν είναι να μπαίνουν πρόστιμα, εμάς ο σκοπός μας είναι να αναβαθμιστεί η ασφάλεια των συστημάτων».
Πηγές ωστόσο από το γραφείο της Επιτρόπου δεδομένων προσωπικού χαρακτήρα δεν επιβεβαιώνουν την παραβίαση προσωπικών δεδομένων όπως αυτή αναφέρεται στην δεύτερη περίπτωση.
