Νέο κακόβουλο λογισμικό από τους ‘Sandman’ hackers

Σοβαρά ερωτήματα έχουν προκύψει σχετικά με το απόρρητο των επικοινωνιών εκατομμυρίων χρηστών κινητών τηλεφώνων στη χώρα μας, όπως προκύπτει από επίσημα έγγραφα και αποφάσεις της Ανεξάρτητης Αρχής για την Προστασία του Απορρήτου των Επικοινωνιών (ΑΔΑΕ).

Οι Data Journalists αποκαλύπτουν σήμερα ένα “μαύρο κουτί” συστηματικών παραβιάσεων του απορρήτου των επικοινωνιών λόγω ανεπαρκών μέτρων ασφαλείας από τις εταιρείες κινητής τηλεφωνίας. Τα τελευταία χρόνια, η ΑΔΑΕ έχει επιβάλει πρόστιμα στις εταιρείες VODAFONE, COSMOTE, ΟΤΕ και FORTHNET για εκατοντάδες περιπτώσεις παραβίασης του απορρήτου που οι ίδιες προκάλεσαν.

Οι κωδικοί στα social media 

Μια άλλη περίπτωση όπου διακυβεύτηκε το απόρρητο των επικοινωνιών είναι οι εκατοντάδες χιλιάδες δρομολογητές που δόθηκαν στους παρόχους του ΟΤΕ, αλλά … χρησιμοποιούνται κοινοί κωδικοί πρόσβασης. τον Μάιο του 2015, μια ιδιωτική εταιρεία υπέβαλε μια ιδιαίτερα σοβαρή καταγγελία στην ΑΠΔΠΧ. Σύμφωνα με την καταγγελία αυτή, οι δρομολογητές που έδινε τότε ο ΟΤΕ στους χρήστες περιείχαν, εκτός από τους κωδικούς διαχείρισης, δύο κωδικούς πρόσβασης που ήταν κοινοί για όλες τις συσκευές. Οι κωδικοί αυτοί ήταν αποθηκευμένοι σε “μη κρυπτογραφημένη μορφή”, πράγμα που σήμαινε ότι ένας τρίτος που τους γνώριζε μπορούσε να έχει “απομακρυσμένη πρόσβαση στις συσκευές”.

Οι δρομολογητές αυτοί ήταν διαθέσιμοι σε περίπου 756.700 συνδρομητές και ο ΟΤΕ πραγματοποίησε τεχνικό έλεγχο και ισχυρίστηκε ότι δεν υπήρχε “κίνδυνος για το απόρρητο των επικοινωνιών” και “δεν υπήρχε δυνατότητα απομακρυσμένης παρεμβολής μέσω των συσκευών αυτών“. Ωστόσο, σύμφωνα με την απόφαση 326/2020, η ΑΔΑΕ αμφισβήτησε τους ισχυρισμούς του ΟΤΕ, καθώς περίπου 3.800 χρήστες είχαν απενεργοποιήσει τα τείχη ασφαλείας τους (mini-firewalls) και είχαν ανοίξει το WAN τους.

Αυτοί οι χρήστες που γνώριζαν για τους πρόσθετους λογαριασμούς πρόσβασης που εντοπίστηκαν ήταν στην πραγματικότητα “ευάλωτοι, θέτοντας έτσι σε κίνδυνο το απόρρητο των επικοινωνιών τους“- σύμφωνα με την έκθεση επιτόπιου ελέγχου της ομάδας της ΑΔΑΕ της 21/09/2015, “η γνώση των δημόσιων διευθύνσεων IP και η απενεργοποίηση των μηχανισμών ασφαλείας και των κωδικών πρόσβασης σε συνδυασμό επέτρεψαν την απομακρυσμένη πρόσβαση σε αυτούς τους δρομολογητές τρίτων με τη χρήση πρόσθετων λογαριασμών πρόσβασης”.

… Λαμβάνοντας υπόψη τα παραπάνω, οι κοινοί κωδικοί πρόσβασης των τερματικών CPE επέτρεπαν την απομακρυσμένη πρόσβαση σε τρίτους χωρίς ο τρίτος να γνωρίζει τον προσωπικό κωδικό πρόσβασης διαχείρισης κάθε CPE…”. Η απόφαση αναφέρει.

Η ΑΔΑΕ κάλεσε τον ΟΤΕ σε ακρόαση και διενεργήθηκαν πέντε επιτόπιοι έλεγχοι σε εργολάβους που είχαν προμηθευτεί τους εν λόγω δρομολογητές το 2015 και το 2016, ενώ διενεργήθηκαν και έλεγχοι στον ΟΤΕ. Σύμφωνα με την έκθεση ελέγχου, ο ΟΤΕ “δεν εφάρμοσε τις κατάλληλες πολιτικές και επιμέρους διαδικασίες κατά την παροχή τερματικού εξοπλισμού CPE τύπου ZTE H108N σε συνδρομητές και δεν ενημέρωσε την ΑΔΑΕ ή τους συνδρομητές που επηρεάστηκαν από το συγκεκριμένο περιστατικό ασφαλείας”. Στην εταιρεία επιβλήθηκε τελικά πρόστιμο 20.000 ευρώ για παράβαση του νόμου, ιδίως για την παράλειψη ενημέρωσης των συνδρομητών για το περιστατικό ασφαλείας.

Το 2019 υποβλήθηκε άλλη μια καταγγελία στην Ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα από χρήστη κινητού τηλεφώνου, με τον ισχυρισμό ότι μπορεί να παραβιάστηκε το απόρρητο των επικοινωνιών. Για τη διερεύνηση αυτού του περιστατικού, η CMAE αποφάσισε να διενεργήσει διαχειριστικό έλεγχο στις εγκαταστάσεις της COSMOTE. Τον Μάιο του 2019, η ομάδα ελέγχου ολοκλήρωσε τον διαχειριστικό έλεγχο και υπέβαλε έκθεση στην CMAE. Σε αυτήν αναφέρεται ότι “δεν τηρούνται αρχεία καταγραφής της πρόσβασης των δεδομένων επικοινωνίας στο σύστημα VMS και αρχεία καταγραφής των διαχειριστικών λειτουργιών στο σύστημα αυτό”, γεγονός που αποτελεί παράβαση των κανονισμών της ADAE.

Η Cosmote παραδέχθηκε ότι η αδυναμία αυτή έχει καταγραφεί ως μη συμμόρφωση με τον κανονισμό από το 2013. Πράγματι, σε επιστολή του Φεβρουαρίου 2020, η εταιρεία δήλωσε ότι “η αναβάθμιση του VMS που υλοποιήθηκε το τελευταίο τρίμηνο του 2014 αφορά νέες βελτιώσεις υλικού και λογισμικού και όχι αλλαγές στο υποσύστημα καταγραφής ενεργειών που θα επιβεβαίωναν τη μη συμμόρφωση με την εν λόγω κανονιστική υποχρέωση”.

Η ΑΔΑΕ διαπίστωσε ότι “η ασυνέπεια της εταιρείας όσον αφορά την τήρηση των αρχείων καταγραφής του εν λόγω συστήματος και σε κάθε περίπτωση η μη συμμόρφωση με τις υποχρεώσεις καταγραφής του συστήματος VMS συνιστά κανονιστική παράβαση”. Πράγματι, η τήρηση των αρχείων καταγραφής πρόσβασης και των αρχείων καταγραφής ενεργειών του εν λόγω συστήματος θα επέτρεπε τόσο στην εταιρεία όσο και στην αρχή πρόσβασης να ελέγχουν τα δεδομένα επικοινωνίας των χρηστών που είναι αποθηκευμένα στο σύστημα, αλλά στην προκειμένη περίπτωση ο έλεγχος αυτός δεν είναι εφικτός”.

Σύμφωνα με την εταιρεία, η νέα πλατφόρμα, η οποία θα κυκλοφορήσει το 2021, θα διαθέτει μηχανισμό καταγραφής και πρόσβασης στις ενέργειες στο σύστημα επικοινωνίας. Στην απόφασή της, ωστόσο, η ΑΔΑΕ έκρινε την COSMOTE υπεύθυνη για παράβαση για παραβίαση του Κανονισμού Διασφάλισης του Απορρήτου των Ηλεκτρονικών Επικοινωνιών, σύμφωνα με την υπ’ αριθμ. 165/2011 απόφαση της ΑΔΑΕ.

Ωστόσο, έχουν υποβληθεί επίσης πολλές καταγγελίες κατά άλλων εταιρειών τηλεπικοινωνιών. Συγκεκριμένα, τον Μάρτιο του 2018 υποβλήθηκε στην ADAE καταγγελία κατά της VODAFONE. Ο καταγγέλλων παραπονέθηκε για “δυσλειτουργίες της τηλεφωνικής γραμμής”. Συγκεκριμένα, αναφέρθηκε σε περιστατικά όπου “εισερχόμενες κλήσεις μεταφέρονταν σε άλλη τηλεφωνική γραμμή” και όπου “ακούγονταν άλλες τηλεφωνικές συνομιλίες κατά τη διάρκεια της συνομιλίας“ Η ADAE έδωσε εντολή στην ομάδα ελέγχου της να διερευνήσει. Τελικά, τον Φεβρουάριο του 2020, η ADAE επέβαλε πρόστιμο 40 000 ευρώ για παράβαση του νόμου περί επικοινωνιών.

Τον Νοέμβριο του 2018, ένα φυσικό πρόσωπο υπέβαλε καταγγελία στην ADAE κατά της FORTHNET– η ADAE συγκρότησε ομάδα ελέγχου και διενήργησε επιτόπιο έλεγχο, ο οποίος ολοκληρώθηκε στις 19 Φεβρουαρίου 2019.

Σύμφωνα με την έκθεση του έκτακτου ελέγχου, το περιστατικό συνέβη αφού ο καταγγέλλων κατήγγειλε τη ζημία τον Οκτώβριο του 2018. Ένα μήνα αργότερα, η βλάβη αποκαταστάθηκε με “αντικατάσταση του ζεύγους”. Ή τουλάχιστον έτσι νόμιζε ο καταγγέλλων. Λίγο αργότερα, συνειδητοποίησε ότι υπήρξε “αναντιστοιχία μεταξύ του αριθμού τηλεφώνου του και ενός άλλου αριθμού τηλεφώνου”. Η αναντιστοιχία αυτή διήρκεσε 11 ημέρες. Κατά τη διάρκεια της περιόδου που αναφέρεται ως “αναντιστοιχία”, έγιναν 37 κλήσεις, 12 από τις οποίες έμειναν αναπάντητες.

“Με άλλα λόγια, έγιναν κλήσεις από και προς τον αριθμό τηλεφώνου του καταγγέλλοντος κατά την περίοδο που υπήρχε ασυμφωνία μεταξύ του τηλεφωνικού του αριθμού και ενός άλλου τηλεφωνικού αριθμού”, αναφέρει η υπ’ αριθμόν 139/2021 απόφαση της ΑΔΑΕ, η οποία κάλεσε την εταιρεία σε ακρόαση.

Η υπόθεση του Γιώργου Φλώρα δεν σταμάτησε στην Ελληνική Εισαγγελία: μετά από μια δεύτερη καταδίκη από την ADAE (αυτή τη φορά για παραβίαση του απορρήτου των επικοινωνιών κατά της VODAFONE), ο κ. Φλώρας προσέφυγε στη δικαιοσύνη. Συγκεκριμένα, κατέθεσε αγωγή κατά των νομίμων εκπροσώπων των δύο εταιρειών το 2021. Η αγωγή αυτή αφορούσε την παραβίαση του απορρήτου των επικοινωνιών. Στη συνέχεια, η Εισαγγελία Πρωτοδικών Αθηνών άσκησε ποινική δίωξη κατά των εκπροσώπων των δύο εταιρειών και παραπέμφθηκαν σε δίκη. Μία από τις δίκες επρόκειτο να διεξαχθεί τον Δεκέμβριο του 2023 μετά από σειρά αναβολών. Η υπόθεση τέθηκε επίσης ενώπιον πολιτικού δικαστηρίου. Ο κ. Φλώρας κατέθεσε δύο αγωγές κατά της VODAFONE και της COSMOTE και μέχρι σήμερα έχει εκδοθεί πρωτοβάθμια απόφαση για τη μία από αυτές, δικαιώνοντας τον κ. Φλώρα, όπως υποστήριξε σε επιστολή που απέστειλε στην εισαγγελέα του Αρείου Πάγου Γεωργία Αδειλίνη το καλοκαίρι … Η δεύτερη δίκη αναβλήθηκε μέχρι την απόφαση του Διοικητικού Πρωτοδικείου Αθηνών, κατά της οποίας η εταιρεία άσκησε έφεση.

Κάτι που αξίζει να αναφερθεί σε σχέση με τις εταιρείες κινητής τηλεφωνίας είναι το γεγονός ότι επί δεκαετίες η ΑΔΑΕ δεν δημοσίευε τα στοιχεία των εταιρειών στις οποίες επέβαλε πρόστιμα για παραβίαση του νόμου περί απορρήτου των επικοινωνιών και δεν παρέπεμπε τις αποφάσεις της στη δικαιοσύνη. το καλοκαίρι του 2022 ο κ. Φλώρας ανακάλυψε τις πρακτικές της ΑΔΑΕ και κατέθεσε τρεις μηνύσεις στην Εισαγγελία Πρωτοδικών Αθηνών κατέθεσε τρεις καταγγελίες στην Εισαγγελία Πρωτοδικών Αθηνών. Αυτό οδήγησε τον κ. Φλώρα να καταγγείλει στην Εισαγγελία Πρωτοδικών Αθηνών μια σειρά αποφάσεων της ΑΔΑΕ κατά εταιρειών κινητής τηλεφωνίας που δεν είχαν παραπεμφθεί στη δικαιοσύνη. Δύο από τις τρεις καταγγελίες ήταν σχετικές και η Εισαγγελία εξέδωσε την υπ’ αριθμ. 960/2023 παραγγελία.

Η ΑΔΑΕ αρχειοθέτησε όλες τις υποθέσεις που αφορούσαν αποφάσεις της Εισαγγελίας Πρωτοδικών που είχαν παραγραφεί. Επρόκειτο για αποφάσεις με τις οποίες η ΑΔΑΕ είχε διαπιστώσει παραβάσεις της νομοθεσίας εκ μέρους των τηλεπικοινωνιακών εταιρειών, αλλά όσον αφορά τις ποινικές υποθέσεις, η παραγραφή είχε παρέλθει επειδή είχε παρέλθει πενταετία από τη διάπραξη του αδικήματος.

Εκτός από τις παραγγελίες για την άσκηση ποινικής δίωξης που είχαν κατατεθεί, είχαν ανοίξει συνολικά περίπου 15 υποθέσεις. Σε αρκετές από αυτές είχαν ήδη ασκηθεί ποινικές διώξεις κατά εκπροσώπων της COSMOTE και της FORTHNET για παραβίαση του απορρήτου των επικοινωνιών. Μία από τις υποθέσεις επρόκειτο να εκδικαστεί από το Πρωτοδικείο Αθηνών τη Δευτέρα 11 Σεπτεμβρίου. Ωστόσο, η δίκη αναβλήθηκε μετά από αίτημα των δικηγόρων των κατηγορουμένων για λόγους υγείας.

Πριν από αυτό, τον Ιούλιο του 2023, μια άλλη υπόθεση εκδικάστηκε ενώπιον του Δικαστηρίου των Αθηνών. Ο κατηγορούμενος αθωώθηκε λόγω έλλειψης δόλου. Ωστόσο, υπήρχε μια νέα πτυχή σε αυτή τη δίκη. Ούτε ο καταγγέλλων, κ. Γιώργος Φλώρας, ούτε το άτομο που έκανε την καταγγελία στην ΑΔΑΕ, ούτε η ΑΔΑΕ που εξέδωσε την απόφαση, ήταν παρόντες ως μάρτυρες προς υποστήριξη των κατηγοριών.

Προηγουμένως, ο κ. Φλώρας είχε υποβάλει γραπτό αίτημα στον εισαγγελέα να εμφανιστεί ως μάρτυρας στη δίκη, προκειμένου να καταχωρηθεί στη δικογραφία και να ερωτηθεί στο δικαστήριο. Ωστόσο, το δικαστήριο απέρριψε το αίτημα του κ. Φλώρα.

Λίγες ημέρες αργότερα, ο κ. Φλώρας απέστειλε επιστολή στην Εισαγγελέα του Αρείου Πάγου Γεωργία Αδειλίνη, την οποία δημοσίευσε το Data Journalist. Ο κ. Φλώρας την ενημέρωσε επίσης για τα όσα συνέβησαν στη δίκη του Ιουλίου και για τον κίνδυνο να αθωωθούν οι εκπρόσωποι των εταιρειών σε άλλες προγραμματισμένες δίκες.

“Εάν αυτή η προσέγγιση συνεχιστεί σε όλες τις άλλες περιπτώσεις, τότε ο κατηγορούμενος πρέπει να αθωωθεί. Δεν πρόκειται να υποστηρίξω εκ προοιμίου ότι είναι άδικο να αθωωθεί ο κατηγορούμενος. Ωστόσο, θα υποστηρίξω ότι η εισαγγελία δεν μπορεί να αφήσει τον κατηγορούμενο να δικαστεί για ένα τόσο σοβαρό αδίκημα με βάση την απόφαση ενός ανεξάρτητου οργάνου, χωρίς να υπάρχει κανείς στο δικαστήριο για να υποστηρίξει τις κατηγορίες. Είναι είτε ο ασθενής, η ΔΑΑΕ είτε ο κατήγορος, όπως εγώ, που ξύπνησε ένα πρωί και είπε, ας πάμε να κατηγορήσουμε την εισαγγελία, κάτι που σαφώς δεν ισχύει”, αναφέρει ο Φλώρας στην επιστολή του, τονίζοντας ότι εναπόκειται στην εισαγγελία να δώσει στοιχεία.

Ο ανώτατος εισαγγελέας έκανε δεκτό το αίτημα του Φλώρα. Πριν από λίγες ημέρες, σύμφωνα με πληροφορίες του Data Journalist, έλαβε κλήση για να εξεταστεί ως μάρτυρας στην αναβληθείσα δίκη της 11ης Σεπτεμβρίου. Η δίκη τώρα φαίνεται να έχει πάρει νέα τροπή.

Ένα άλλο θέμα που θίγει ο κ. Φλώρας στην επιστολή του αφορά το ύψος των προστίμων που επιβάλλει η ΑΔΑΕ και τα κέρδη των εταιρειών κινητής τηλεφωνίας. Το σύνολο των προστίμων που επιβάλλει ο ανεξάρτητος φορέας για παραβιάσεις του απορρήτου των επικοινωνιών μπορεί να ανέλθει σε εκατομμύρια ευρώ. Συγκεκριμένα, μεταξύ 2017 και 2022, η ΑΔΑΕ επέβαλε πρόστιμα συνολικού ύψους 7,2 εκατ. ευρώ σε εταιρείες κινητής τηλεφωνίας. Πρόκειται για εκατοντάδες υποθέσεις και καταγγελίες που χειρίζεται η ΑΔΑΕ. Παράλληλα, τα κέρδη των εταιρειών την ίδια περίοδο ανέρχονται σε αρκετές δεκάδες δισεκατομμύρια ευρώ, συγκεκριμένα μόνο ο ΟΤΕ και η VODAFONE ανέρχονται σε περίπου 13 δισεκατομμύρια ευρώ.

“Δεδομένου του σημαντικού κόστους που συνεπάγεται η εφαρμογή μέτρων ασφαλείας για τη διασφάλιση του απόλυτου απορρήτου των επικοινωνιών, γίνεται εύκολα αντιληπτό ότι τα πρόστιμα που επέβαλε η Ε.Ε.Τ.Τ. δεν θα αποτελούσαν καθόλου αποτρεπτικό παράγοντα για τις τηλεφωνικές εταιρείες.