Με την απόφαση 4/2022 η Αρχή Προστασίας Δεδομένων τιμώρησε την ΟΤΕ και την COSMOTE με συνολικά πρόστιμα 9.100.000€ για παραβίαση της νομοθεσίας περί Προσωπικών Δεδομένων. Από την απόφαση διαπιστώνουμε ότι η μεγαλύτερη εταιρεία τηλεπικοινωνιών στην Ελλάδα παρανομούσε συστηματικά διατηρώντας προσωπικά δεδομένα συνδρομητών που δεν έπρεπε να διατηρεί.
Το 2020 έγινε αντιληπτό από τους διαχειριστές των συστημάτων των εταιρειών, μέσω αυτοματοποιημένου μηνύματος ειδοποίησης, πως ο δίσκος αποθήκευσης δεδομένων ενός εξυπηρετητή (server) ξεπέρασε το όριο χωρητικότητας. Έπειτα από διερεύνηση, βρέθηκε αποθηκευμένο στο server αυτό αρχείο μεγέθους 30 GB το οποίο περιείχε δεδομένα κλήσεων συνδρομητών για το χρονικό διάστημα 1/9/2020 – 5/9/2020. Επίσης, διαπιστώθηκε ότι υπήρξε δικτυακή κίνηση δεδομένων όγκου 30GΒ μεταξύ του server και εξωτερικής διεύθυνσης διαδικτύου (διεύθυνση IP), η οποία ανήκει σε πάροχο υπηρεσιών φιλοξενίας στο διαδίκτυο (Hosting Provider) της Λιθουανίας. Από την ανάλυση των αρχείων καταγραφής που έκανε η COSMOTE, προέκυψε ότι από την ίδια διεύθυνση IP είχε πραγματοποιηθεί διαδικτυακή πειρατεία (hacking) σε ιστοσελίδα, η οποία φιλοξενείτο σε υποδομή του ΟΤΕ. O hacker κατάφερε να αποκτήσει διαχειριστική πρόσβαση, χρησιμοποιώντας τον κωδικό πρόσβασης ενός διαχειριστή του ΟΤΕ, ο οποίος είχε επέλθει στην κατοχή του hacker στο παρελθόν, μετά από περιστατικό διαρροής κωδικών πρόσβασης της εφαρμογής κοινωνικής δικτύωσης LinkedIn. Στη συνέχεια, ο hacker κατάφερε να εκτελέσει ερωτήματα σε σύστημα Big Data της COSMOTE, από το οποίο εξήγαγε το αρχείο. Προέκυψε επίσης ότι προς την προαναφερθείσα Λιθουανική διεύθυνση IP, είχαν πραγματοποιηθεί άλλες τέσσερις (4) σημαντικού μεγέθους μεταφορές δεδομένων (μεγαλύτερες από 1GB) από server της COSMOTE (37GB, 2.4GB και 8.5GB και 6.1GB). Δεν κατέστη εφικτό να εντοπιστεί το είδος των δεδομένων που διαβιβάστηκαν μέσω της εν λόγω διαδικτυακής κίνησης.
Το αρχείο που διέρρευσε περιείχε δεδομένα κλήσεων των συνδρομητών για το χρονικό διάστημα 1-9-2020 – 5-9-2020 με τα εξής στοιχεία: Τηλεφωνικός αριθμός Α– Τηλεφωνικός αριθμός B, συντεταγμένες σταθμών βάσης, Διεθνής ταυτότητα εξοπλισμού κινητής τηλεφωνίας (International Mobile Equipment Identity IMEI), Διεθνής ταυτότητα συνδρομητή κινητής τηλεφωνίας (International Mobile Subscriber Identity - IMSI), χρονική σήμανση (timestamp), διάρκεια κλήσης, ένδειξη παρόχου, τιμολογιακό πρόγραμμα συνδρομητή, ηλικία, φύλο, μέσο έσοδο ανά χρήστη (ARPU). Τα διάφορα σύνολα κλήσεων, που περιέχονται στο ανωτέρω αρχείο, περιλαμβάνουν διαφορετικό συνδυασμό των ανωτέρω δεδομένων. Το αρχείο προέρχεται από το σύστημα μαζικών δεδομένων «BigStreamer». Ειδικότερα, τα δεδομένα αφορούσαν:
I. Δεδομένα κίνησης, συμπεριλαμβανομένων των συντεταγμένων σταθμών βάσης, για 4.792.869 μοναδικούς συνδρομητές COSMOTE. Εξ αυτών, το αρχείο περιείχε επιπλέον απλά προσωπικά δεδομένα (Ηλικία, Φύλο, Οικονομικό πρόγραμμα, ARPU) για 4.239.213 μοναδικούς συνδρομητές.
II. Τα MSISDN2 / CLI3 6.939.656 χρηστών άλλων εγχώριων παρόχων σταθερής & κινητής τηλεφωνίας που κάλεσαν ή κλήθηκαν από συνδρομητές COSMOTE.
III. Τα MSISDN, IMEI, IMSI και συντεταγμένες σταθμών βάσης για 281.403 συνδρομητές περιαγωγής που πραγματοποίησαν κλήσεις μέσω του δικτύου κινητής τηλεφωνίας της COSMOTE.
ΔΕΙΤΕ ΕΔΩ ΤΗΝ ΠΛΗΡΗ ΑΠΟΦΑΣΗ 4/2022 ΤΗΣ ΑΡΧΗΣ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
https://drive.google.com/file/d/1L2DW08QBRucS5-JoUnVQpfDpqpD7uVMU/view?usp=sharing
Σχόλια
Δημοσίευση σχολίου
Ευχαριστούμε για το σχόλιο, αφού ελεγχθεί θα δημοσιευθεί εφόσον τηρεί τους κανόνες του ιστολογίου