Κυβερνοεπίθεση στο Ε.Α.Π με διαρροή προσωπικών δεδομένων μετά από επίθεση ransomware

[ethereum]

πολύ κακό γεγονός , έκλεψαν

Ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτότητας, υπογραφές, φωτογραφίες

Προσωπικά στοιχεία επικοινωνίας (διευθύνσεις, τηλέφωνα, email)

Τραπεζικοί λογαριασμοί και στοιχεία πληρωμών

Ιατρικά δεδομένα

Βαθμολογίες, τίτλοι σπουδών, εκπαιδευτικά έγγραφα

Συμβάσεις, αποφάσεις συλλογικών οργάνων και αλληλογραφία

Όλα τα παραπάνω, σύμφωνα με το ίδιο το Ίδρυμα, έχουν εντοπιστεί στο dark web, με τουλάχιστον 65 GB να έχουν ήδη ανακτηθεί από τρίτους. Κανείς δεν μπορεί να γνωρίζει ποιοι τα έχουν στην κατοχή τους και με τι σκοπούς,

μια εταιρία να τους προστατεύει δεν είχαν ? ? ,  υπάρχουν εταιρίες cybersecurity που προστατεύουν σε πραγματικό χρόνο τη ροή και το traffic και ενημερώνουν κατ'ευθείαν για οτιδήποτε.

Επεξ/σία 29 Μαρτίου από ethereum

[alcemist]

Μα αφού μας είχαν βεβαίωσει ότι τα δεδομένα μας ειναι ασφαλή και απλά ήταν DOS attack.... 

[poulinos]

56 minutes ago, alcemist said:

Μα αφού μας είχαν βεβαίωσει ότι τα δεδομένα μας ειναι ασφαλή και απλά ήταν DOS attack.... 

ms dos attack ηταν 😛

 

ενώ παράλληλα έχει θέσει σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών συστημάτων του.

οπως παντα αφου γινει η βλακεια πρωτα

 

[bymas]

5 ώρες πριν, poulinos είπε

ms dos attack ηταν 😛

 

ενώ παράλληλα έχει θέσει σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών συστημάτων του.

οπως παντα αφου γινει η βλακεια πρωτα

 

Δε θα έλεγα όπως παντα

τις περισσότερες γίνεται η βλακεία και δεν διορθώνεται τίποτα 🤣

[Paladin-}LoA{-]

Αυτό το "5 μήνες" είναι απαράδεκτο. Για όσους διέρευσαν τα στοιχεία τους, υπήρχε σοβαρός κίνδυνος να χρησιμοποιηθούν αυτά με διάφορους τρόπους. Καταρχάς με τόσο αναλυτικά δεδομένα, κάποιος μπορεί να καλέσει σε υπηρεσίες ή τράπεζες και να προσποιηθεί ότι είναι ο/η φοιτητής από το ΕΑΠ και τα πάντα εξαρτώνται από το πόσο υποψιασμένος είναι αυτός που θα απαντήσει την κλήση. Επιπλέον ένας κακόβουλος χρήστης μπορεί να καλέσει τον εκάστοτε φοιτητή του οποίου έχει πάρει τα στοιχεία, και γνωρίζοντας το ιστορικό του φοιτητή, να τον πείσει ότι είναι πχ από κάποια κρατική ή τραπεζική υπηρεσία ή κάτι άλλο με ότι συνέπειες μπορεί να έχει αυτό. Και τα θύματα αυτά το μαθαίνουν πέντε μήνες μετά ότι υπάρχει τέτοιος κίνδυνος... Λογικά ήδη στο dark web τα δεδομένα αυτά  θα έχουν αγοραστεί από κακόβουλους χρήστες. Τελείως ανεύθυνοι στο ΕΑΠ....

[Demora]

Οι καθηγητές είχαν ενημερώσει σχετικά τη δεύτερη βδομάδα, οπότε ως φοιτήτρια του ΕΑΠ δεν το μαθαίνω τώρα, με την επίσημη ανακοίνωση. Αυτό για να είμαστε ακριβοδίκαιοι.
Τώρα για όλο το άλλο...δεν ξέρω ακόμα πως να νιώσω και τι επιπτώσεις μπορεί να έχει αυτό σε εμένα προσωπικά...ελπίζω να μη το διαπιστώσω. Σίγουρα είναι τραγική κατάσταση και σε μια σχολή που πληρώνω δίδακτρα το θεωρώ απαράδεκτο να μην προστατεύονται τα προσωπικά μου δεδομένα. Σε οποιαδήποτα σχολή και δημόσια υπηρεσία, αλλά τι να λέμε τώρα.

[jimmy213]

9 hours ago, ethereum said:

μια εταιρία να τους προστατεύει δεν είχαν ? ? ,  υπάρχουν εταιρίες cybersecurity που προστατεύουν σε πραγματικό χρόνο τη ροή και το traffic και ενημερώνουν κατ'ευθείαν για οτιδήποτε.

Πολλά ζητάς. Τι ανοιχτό, τι κλειστό. Η νοοτροπία των Πανεπιστημίων στην Ελλάδα είναι ίδια παντού.

Έχουν πιάσει οι δεινόσαυροι τις θέσεις εκεί μέσα στο ΕΑΠ (δε λέω για τους καθηγητές που σήμερα είναι, αύριο δεν είναι) και το παίζουν ιστορία.

Σε άλλη δομή που έτυχε να παρακολουθήσω λίγα μαθήματα, έστελναν ομαδικά emails (για το τμήμα) και φαίνονταν τα emails όλων μας (γιατί έμπαιναν όλα χύμα με CC). Όταν το ανέφερα, έλαβα την παρακάτω απάντηση:

Quote

νομίζω, δεν τίθεται θεμα ιδιωτικότητας μεταξύ "συμμαθητών" [...]

Και το "αστείο" ξέρεις ποιο είναι; Λίγο μετά η υπεύθυνη έστειλε ομαδικό email με τίτλο "ΠΡΟΣΟΧΗ ΣΕ ΕΠΙΚΙΝΔΥΝΑ ΣΠΑΜ ΜΗΝΥΜΑΤΑ".

Οπότε άσε το cybersecurity. Ούτε τα βασικά δεν δέχονται να κάνουν.

[YngwieMalmsteen]

OK, καταλαβαίνω ότι οποιαδήποτε παραβίαση πληροφοριακού συστήματος ενός μεγάλου ιδρύματος, είναι σοβαρή υπόθεση.
Παρ' όλα αυτά, αν τα data ήταν encrypted, δε θα μας ένοιαζε ιδιαίτερα πολύ (δε λέω ότι δε θα μας ένοιαζε καθόλου).
Τι διάολο; Σε plain text τα είχανε όλα;

[Mikalaras]

Πρόστιμο θα επιβληθεί από κάποια αρχή στο ΕΑΠ που είχε ανεπαρκή μέτρα ασφαλείας για τόσο σημαντικά προσωπικά στοιχεία? 

Ελπίζω να κινηθεί νομικά τουλάχιστον ένας σπουδαστής και να λάβει αποζημίωση.

Ή θα μείνουμε στο "κρίμα το ίδρυμα που δέχτηκε τέτοια επίθεση" και στις φανφαρολογίες για τη "μέγιστη διασφάλιση της ακεραιότητας, της διαθεσιμότητας και της εμπιστευτικότητας των δεδομένων των χρηστών του" που τώρα θυμήθηκαν ότι είναι σοβαρό ζήτημα? 

[Ok-jeronimo441]

10 ώρες πριν, ethereum είπε

πολύ κακό γεγονός , έκλεψαν

Ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτότητας, υπογραφές, φωτογραφίες

Προσωπικά στοιχεία επικοινωνίας (διευθύνσεις, τηλέφωνα, email)

Τραπεζικοί λογαριασμοί και στοιχεία πληρωμών

Ιατρικά δεδομένα

Βαθμολογίες, τίτλοι σπουδών, εκπαιδευτικά έγγραφα

Συμβάσεις, αποφάσεις συλλογικών οργάνων και αλληλογραφία

Όλα τα παραπάνω, σύμφωνα με το ίδιο το Ίδρυμα, έχουν εντοπιστεί στο dark web, με τουλάχιστον 65 GB να έχουν ήδη ανακτηθεί από τρίτους. Κανείς δεν μπορεί να γνωρίζει ποιοι τα έχουν στην κατοχή τους και με τι σκοπούς,

μια εταιρία να τους προστατεύει δεν είχαν ? ? ,  υπάρχουν εταιρίες cybersecurity που προστατεύουν σε πραγματικό χρόνο τη ροή και το traffic και ενημερώνουν κατ'ευθείαν για οτιδήποτε.

Το χειρότερο είναι οτι έχουν κάτι κουραμπιέδες καθηγητές που καμώνονται τους γνώστες και διδάσκουν την ώρα που δεν μπορούν να κουμπώσουν τα παντελόνια του ''μαγαζιού'' τους. Τρύπιοι είτε σκόπιμα είτε από ανικανότητα. 

 

ΥΓ: Δε βλέπω να κινείται κουνούπι ζητώντας την αποπομπή της διοικούσας καθώς φαίνεται πως δεν υπάρχει τσίπα να παραιτηθούν λόγω της πλήρους και επικίνδυνης ανικανότητάς της.

Επεξ/σία 29 Μαρτίου από Ok-jeronimo441

[poulinos]

2 hours ago, bymas said:

Δε θα έλεγα όπως παντα

τις περισσότερες γίνεται η βλακεία και δεν διορθώνεται τίποτα 🤣

παλια ναι τιποτα δεν αλλαζε. πλεον ομως λογω gdpr και δεν ξερω τι αλλο δεν τους παιρνει να μην τα φτιαξουν.

παλια δεν θα ελεγαν τπτ καν

[Πέτρος]

Αφήνω στην άκρη όλα τα υπόλοιπα (όχι ότι είναι ασήμαντα, εννοείται) και μένω στο "ιατρικά αρχεία".

Αυτό και μόνο σηκώνει κυνήγι αλύπητο, με βαρύτατες ποινές.

Κάτι γράφτηκε και για το ΑΧΕΠΑ? Τα ίδια κι εκεί? Κουβέντα, επίσημα?

[james01gr]

20 ώρες πριν, panos- είπε

Και φυσικά όταν χρειάστηκε να συνδεθούμε ξανά στις πλατφόρμες, ήταν υποχρεωτικό να τσεκάρουμε κουτάκι ότι συναινούμε με τη διαρροή και δεν έχουμε δυνατότητα να το κυνηγήσουμε κάπως. Όχι ότι υπάρχει και κάποιο θεσμικό πλαίσιο που θα ασχοληθεί, αλλά λέμε..

Υπάρχει και είναι η αρχή προστασίας προσωπικών δεδομένων. Αυτή είναι υπεύθυνη για την τήρηση του Gdpr. Και μου φαίνεται πως το ανοικτό πανεπιστήμιο έχει ήδη παραβιάσει την ανακοίνωση πως διέρρευσαν δεδομένα

Μου φαίνεται πως η προθεσμία είναι στο τρίμηνο το αργότερο

[panos279]

Δυστυχώς το Ελληνικό "cybersecurity" μόνο ώς αστείο μπορεί να ακουστεί τελικά. Οι περισσότερες απο τις Δημόσιες Υπηρεσίες όλων των κατηγοριών έχουν απο ελάχιστα έως τίποτα στα συστήματα τους. Βασίζονται στην τυπική "ασφάλεια" του ΣΥΖΕΥΞΙΣ και αφήνουν εκτεθειμένες τις υπηρεσίες τους καθώς δεν ξέρουν τι "κυκλοφορεί" στο εσωτερικό τους δίκτυο...

Ακόμη και να προχώρησσαν σε τυπικές λειτουργίες ασφάλειας, δεν κάνουν αναβαθμίσεις ή οτιδήποτε άλλο χρειαστεί ώστε να έχουν ισχυρή προστασία. Φυσικά δεν μιλάμε για κωδικοποιήσεις αρχείων κλπ. Επίσης δεν προστατεύονται απο επιθέσεις εκ των "έσω" μέσω USB κλπ. 

Εχουν γίνει πάρα πολλά και θα γίνουν και άλλα.... Επίσης σχετικά με το ΕΑΠ, μόνο τα δεδομένα υπέκλεψαν? Γιατί τα δεδομένα ανακτήθηκαν κάποια στιγμή, έστω και αυτά που ανακτήθηκαν.... Ξέρουμε όλοι ότι οι Ομάδες Ransomware έχουν πρώτο στόχο τα χρήματα και το ΕΑΠ ώς γνωστό έχει χρήματα... άρα ο συλλογισμός είναι απλός, και τους πουλάνε τα δεδομένα στο Darkweb και τους τα πήραν χοντρά απο ότι φαίνεται...