Οι χάκερς διέρρευσαν προσωπικά δεδομένα χιλιάδων προσώπων από το Ανοιχτό Πανεπιστήμιο Κύπρου στο dark web: Δεν πήραν λύτρα και υλοποίησαν τις απειλές τους

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Νέες κυρώσεις των ΗΠΑ σε βάρος του Ιράν: Στο στόχαστρο οι χάκερς του καθεστώτος που εμπλέκονται σε κυβερνοεπιθέσεις

Στον «πλανήτη» κυβερνοασφάλεια τίποτε δεν είναι απολύτως σίγουρο: Τα 10 μείζονα περιστατικά του 2023 και τα κενά ασφαλείας από όπου πέρασαν οι hackers

Η Ελβετία καταγγέλλει επίθεση φιλορώσων χάκερς μετά την επίσκεψη Ζελένσκι: Η Βέρνη θα διοργανώσει διεθνή διάσκεψη για τον πόλεμο στην Ουκρανία

Πρωτοφανής διαρροή προσωπικών δεδομένων από το Ανοικτό Πανεπιστήμιο Κύπρου σημειώθηκε χθες στο σκοτεινό διαδίκτυο, το γνωστό dark web.

Το μέγεθος της διαρροής δεν είναι ακόμη γνωστό, ωστόσο εκτιμάται ότι αφορά σε χιλιάδες πρόσωπα, φοιτητές, ακαδημαϊκούς, συνεργάτες, μέλη ΔΣ και διοικητικό προσωπικό.

Οι χάκερς που κρύβονται πίσω από το γνωστό κακόβουλο λογισμικό, με την ονομασία Medusa, φαίνεται να υλοποίησαν τις απειλές τους και αφού δεν πήραν τα λύτρα που ζητούσαν, διέρρευσαν χθες στο σκοτεινό διαδίκτυο προσωπικά δεδομένα αγνώστου αριθμού προσώπων.

Το μέγεθος της διαρροής θα φανεί, σύμφωνα με τους ειδικούς, τις επόμενες ημέρες, ενώ το θέμα παρακολουθούν, Αστυνομία, Επίτροπος Προστασίας Προσωπικών Δεδομένων, η Αρχή Ψηφιακής Ασφάλειας κ.ά.

Δεν αποκλείεται πάντως να έχουν κλαπεί δεδομένα από το 2010 και μετά.

Ο «Φ» επικοινώνησε με την Επίτροπο Προστασίας Δεδομένων Προσωπικού Χαρακτήρα Ελένη Λοϊζίδου Νικολαΐδου, η οποία ανέφερε ότι στο Γραφείο της έγιναν οι γνωστοποιήσεις που επιβάλλεται να γίνουν όταν υπάρχει τέτοια κλοπή δεδομένων.

Ειδικά από το Ανοικτό Πανεπιστήμιο έχουν γίνει δύο γνωστοποιήσεις, μια αρχική και μια συμπληρωματική. Επίσης έχουμε επικοινωνία κάθε φορά που εντοπίζουν τι έχει κλαπεί, ανέφερε.

Δύο ημικρατικοί οργανισμοί στο στόχαστρο χάκερς

Όσον αφορά τα άτομα, τα προσωπικά δεδομένα των οποίων έχουν κλαπεί, έχουν δικαίωμα, ανέφερε η κ. Λοϊζίδου, να υποβάλουν παράπονο στο Γραφείο της, το οποίο θα κοινοποιηθεί μαζί με την γνωστοποίηση.

Η ίδια ξεκαθάρισε ότι δεν επηρεάζει το ένα το άλλο, δηλαδή η υποχρέωση του Πανεπιστημίου προς το Γραφείο της για την τελική του θέση.

«Εμάς δεν μας επηρεάζει στην κρίση μας κατά πόσον ζητήθηκαν ή αν δόθηκαν ή μη λύτρα. Εμάς το θέμα που μας απασχολεί είναι αν υπήρχαν ή όχι τα οργανωτικά μέτρα στον Οργανισμό αυτό που δέχθηκε την επίθεση.

Ήταν αυστηρά τα μέτρα αυτά, ήταν χαλαρά, έπρεπε να υπάρχουν άλλα, αυτά διερευνούμε εμείς», εξήγησε η Επίτροπος.

Σε ερώτηση αν το Γραφείο της έχει κατ’ αρχήν καταλήξει στο κατά πόσον υπήρχαν μέτρα, η κ. Λοϊζίδου απάντησε ότι είναι πολύ νωρίς, αφού ακόμη και οι ίδιοι δεν γνωρίζουν τι γίνεται.

Σε παρατήρηση ότι η υποκλοπή δεν έγινε σε μια ημέρα, η Επίτροπος ανέφερε ότι «εμείς θα ελέγξουμε κατά πόσον γίνονταν τα τεστ που έπρεπε, παρά τις συνεχείς εκπαιδεύσεις που γίνονταν.

Εγώ η ίδια συμπωματικά, ήμουν στο Ανοικτό Πανεπιστήμιο πριν ένα μήνα και έκανα παρουσίαση. Είναι όλα αυτά που θα κρίνουμε, αλλά δεν είναι κάτι που θα γίνει αύριο, έχει βάθος χρόνου», συμπλήρωσε.

Όσον αφορά με το τί γίνεται με αυτούς που έχουν διαρρεύσει τα προσωπικά τους δεδομένα, η Επίτροπος ανέφερε ότι και αν δεν υποβάλουν παράπονο, εάν υπάρχει η παραδοχή του Πανεπιστημίου ότι για παράδειγμα 100.000 ατόμων έχουν διαρρεύσει τα ευαίσθητα προσωπικά δεδομένα, δεν χρειάζεται να υπάρχει ξεχωριστό παράπονο.

Σημειώνεται ότι μετά από παρέμβαση της Επιτρόπου, έγινε ενημέρωση των υποκείμενων στη διαρροή, η οποία περιέχει βήματα προστασίας τους. Από εκεί και πέρα, πρόσθεσε, ο καθένας που θεωρεί ότι είναι εκτεθειμένος, μιλά με τις τράπεζές του, τους παρόχους του, ώστε όταν δουν ύποπτη κίνηση να μην την αφήσουν να προχωρήσει.

Η κ. Λοϊζίδου επεσήμανε ότι σκοπός των χάκερς δεν ήταν τα προσωπικά δεδομένα αυτά καθ’ αυτά, αλλά για να εκβιάσουν για λύτρα.

«Εγώ αν ήμουν του Ανοικτού Πανεπιστημίου θα επικοινωνούσα με την τράπεζά μου ώστε αν δουν κάτι ύποπτο να με ενημερώσουν».

Η Επίτροπος ανέφερε επίσης ότι η αρχική ενημέρωση από το Πανεπιστήμιο κρίθηκε ως ελλιπής και ζητήθηκαν πιο λεπτομερή στοιχεία για το ποιες κατηγορίες υποκειμένων έχουν πληγεί και ποια προσωπικά τους δεδομένα, πράγμα που έπραξαν.

Τριάντα διαρροές φέτος

Η κ. Λοϊζίδου τόνισε ότι γνωστοποιήσεις συμβάντων που κατέληξαν σε προειδοποιήσεις ή και σε διοικητικά πρόστιμα γίνονται καθημερινά σχεδόν στο Γραφείο της.

Ενδεικτικά το 2022 είχαμε 67 και φέτος 30. Οι γνωστοποιήσεις αυτές είναι υποχρεωτικές, όμως τέτοιας έκτασης, όπως στο Ανοικτό Πανεπιστήμιο, δεν είχαμε ξανά.

«Φαίνεται ότι τους κτύπησαν ολοκληρωτικά», είπε. Η Επίτροπος τόνισε τέλος ότι αυτό το διάστημα βιώνουν και άλλες χώρες τέτοιες κυβερνοεπιθέσεις σε Πανεπιστήμια τους που μπορεί να είναι και συντονισμένες.

Σημειώνεται ότι όσων τα προσωπικά δεδομένα έχουν διαρρεύσει, μπορούν να προσφύγουν στα δικαστήρια με αστικές αγωγές.

Ο «Φ» ζήτησε τη θέση του Ανοικτού Πανεπιστημίου, όμως μας παρέπεμψαν σε ανακοίνωση που θα εκδοθεί τις επόμενες ημέρες.

Το είπαν και το έκαναν  

Ώρα 1.40μ.μ. Οι χάκερς υλοποιούν την απειλή τους. Ενώ αρχικά η ιστοσελίδα που κτύπησαν το Ανοικτό Πανεπιστήμιο Κύπρου στο dark web, βρισκόταν εκτός λειτουργίας και να έδωσε μια μικρή ελπίδα στις αρμόδιες υπηρεσίες ότι δεν θα γινόταν η διαρροή των δεδομένων που υπέκλεψαν, ωστόσο επανήλθε και φαίνεται πως τα προσωπικά δεδομένα διέρρευσαν.

Σύμφωνα με ανάρτηση του ειδικού σε θέματα ασφάλειας διαδικτύου, Ντίνου Παστού, ο χρόνος για την πληρωμή των λύτρων για το ransomware έληξε και αναφέρεται ότι τα δεδομένα του Ανοικτού Πανεπιστημίου Κύπρου (OUC) έχουν δημοσιευτεί.

Μάλιστα στην ανάρτηση των χάκερς που αφορούσε το Ανοικτό Πανεπιστήμιο είχε αφαιρεθεί η αντίστροφη μέτρηση και το χρηματικό ποσό που ζητούσαν ως λύτρα.

Ωστόσο, πληροφορίες του «Φ» αναφέρουν ότι τα αρχεία αυτά προς το παρόν δεν είναι προσβάσιμα, ενώ όπως δήλωσε στον «Φ» ο κ. Παστός, είναι θέμα ημερών να δούμε τη διαρροή αυτών των δεδομένων σε διάφορες ιστοσελίδες.

Αυτή τη στιγμή μόνο στο dark web υπάρχουν, είπε. Ο ίδιος εξέφρασε την εκτίμηση ότι τα αρχεία από το Ανοικτό Πανεπιστήμιο δεν υποκλάπηκαν μέσα σε μια ημέρα, αλλά σε πολλές, λόγω του τεράστιου όγκου και πρόσθεσε ότι υπάρχουν αρχεία από το 2010 και μετά.

Επίσης, ανέφερε ότι υπάρχουν αρχεία εντός των αρχείων, οπότε το μέγεθος εκτιμάται ότι είναι τεράστιο.

Τώρα, πρόσθεσε, θα πρέπει να παρακολουθείται συνεχώς η κατάσταση και να βρίσκονται όλοι σε εγρήγορση για την έκταση της διαρροής.

Οι συνέπειες, τόνισε, μπορεί να είναι τεράστιες και υπογράμμισε ότι «το πάθημα πρέπει να μας γίνει μάθημα επιτέλους» και εξέφρασε την ελπίδα να παρθούν τέτοια προληπτικά μέτρα ώστε να μην ξαναδούμε τέτοιας έκτασης διαρροή.

Υπενθυμίζεται πως η επίθεση των χάκερ στην ιστοσελίδα του Ανοικτού Πανεπιστημίου Κύπρου, σημειώθηκε στις 27 Μαρτίου και ζητούσαν το ποσό των 100.000 ευρώ σε κρυπτονομίσματα με σκοπό να μη διαρρεύσουν τα προσωπικά δεδομένα που είχαν στην κατοχή τους.

Οι Αρχές δεν υπέκυψαν και το τελεσίγραφο έληξε χθες. Σε ανακοίνωσή του το ΑΠΚΥ, ανέφερε ότι η Υπηρεσία Πληροφορικής και Τεχνολογίας του Πανεπιστημίου, εντόπισε κακόβουλη επίθεση στον εξυπηρετητή φύλαξης αρχείων (fileserver), στον οποίο το Πανεπιστήμιο αποθηκεύει και επεξεργάζεται διάφορα δεδομένα, από ομάδα κυβερνοεπίθεσης με την ονομασία «MEDUSA», η οποία ζητά αποζημίωση για την μη δημοσίευσή τους, αναφέρει σχετική ανακοίνωση.

Ως αποτέλεσμα της επίθεσης, δεδομένα προσωπικού χαρακτήρα, απλά και ευαίσθητα, που αφορούν φοιτητές και φοιτήτριες, πρώην φοιτητές, αποφοίτους, ακαδημαϊκό και διοικητικό προσωπικό, ερευνητές ή/και συνεργάτες έχουν διαρρεύσει.

ΠΗΓΗ: philenews.com

Ο γερουσιαστής Μενέντεζ συγκάλεσε την πρώτη συνάντηση της Διακοινοβουλευτικής Ομάδας «3+1»: ΗΠΑ, Κύπρος, Ισραήλ και Ελλάδα