Διέρρευσαν στο dark web προσωπικά δεδομένα και τραπεζικοί λογαριασμοί χιλιάδων φοιτητών

Η διαρροή δεδομένων από το Ελληνικό Ανοικτό Πανεπιστήμιο (ΕΑΠ) ήρθε στο φως μετά από μήνες σιωπής, αποκαλύπτοντας έναν τεράστιο όγκο ευαίσθητων πληροφοριών που έχουν καταλήξει στο dark web. Φοιτητές και απόφοιτοι βρίσκονται σε αδιέξοδο, καθώς κρίσιμα προσωπικά και οικονομικά δεδομένα τους έχουν εκτεθεί.

Διαρροή 813 GB με προσωπικά και οικονομικά στοιχεία

Σύμφωνα με την επίσημη ανακοίνωση του ΕΑΠ την Παρασκευή 28 Μαρτίου 2025, η κυβερνοεπίθεση πραγματοποιήθηκε στις 25 Οκτωβρίου 2024 και είχε ως αποτέλεσμα την παραβίαση των πληροφοριακών του συστημάτων. Το Ίδρυμα επιβεβαιώνει ότι παραβιάστηκαν και διέρρευσαν 813 GB προσωπικών δεδομένων, ενώ η διερεύνηση του περιστατικού συνεχίζεται.

Ανάμεσα στα δεδομένα που εκλάπησαν και δημοσιεύτηκαν στο dark web περιλαμβάνονται:

• Ονοματεπώνυμα, ΑΦΜ, ΑΜΚΑ, αριθμοί ταυτότητας, υπογραφές και φωτογραφίες
• Διευθύνσεις, τηλέφωνα και email
• Τραπεζικοί λογαριασμοί και στοιχεία πληρωμών
• Ιατρικά δεδομένα
• Βαθμολογίες, τίτλοι σπουδών και εκπαιδευτικά έγγραφα
• Συμβάσεις, αποφάσεις συλλογικών οργάνων και αλληλογραφία

Όπως αναφέρει το ίδιο το Πανεπιστήμιο, τουλάχιστον 65 GB από αυτά τα αρχεία έχουν ήδη ανακτηθεί από τρίτα πρόσωπα, χωρίς να είναι γνωστό ποιοι τα έχουν στην κατοχή τους ή για ποιο σκοπό.

Η καθυστέρηση ενημέρωσης προκάλεσε οργή

Οι πρώτες αντιδράσεις φοιτητών και αποφοίτων

Η καθυστερημένη αντίδραση του Ιδρύματος έχει προκαλέσει αντιδράσεις. Από τον Νοέμβριο του 2024, φοιτητές και απόφοιτοι είχαν απευθύνει επιστολές προς τη διοίκηση του ΕΑΠ, εκφράζοντας την έντονη ανησυχία τους για το περιστατικό και ζητώντας διαφάνεια.

«Ποια δεδομένα έχουν διαρρεύσει; Ποιοι είχαν πρόσβαση; Τι πρέπει να κάνουμε για να προστατευτούμε;» ήταν μερικά από τα ερωτήματα που απηύθυναν επανειλημμένα χωρίς να λάβουν άμεσες απαντήσεις.

Ανησυχίες για ενδεχόμενα λύτρα

Το foititikanea.gr αποκάλυψε ήδη από τις 3 Νοεμβρίου 2024 ότι υπήρχε η υποψία διαρροής δεδομένων, εφόσον δεν καταβάλλονταν λύτρα στους χάκερς. Σύμφωνα με τις ίδιες πηγές, υπήρχε πληροφορία ότι οι κυβερνοεγκληματίες είχαν δώσει συγκεκριμένο χρονικό περιθώριο στο Ίδρυμα για να πληρώσει, διαφορετικά θα δημοσιοποιούσαν τα δεδομένα.

Παρά την καθυστερημένη επιβεβαίωση και την ήδη τεράστια διαρροή δεδομένων, το ΕΑΠ δηλώνει ότι οι έρευνες συνεχίζονται.

Η ανακοίνωση του ΕΑΠ

«Στις 25/10/2024 εντοπίσαμε ύποπτη δραστηριότητα στα πληροφοριακά μας συστήματα, η οποία αφορούσε σε μη εξουσιοδοτημένη πρόσβαση. Η επίθεση πραγματοποιήθηκε με λογισμικό τύπου ransomware (ransomware attack), κατά την οποία το κακόβουλο λογισμικό απέκτησε πρόσβαση, με υποκλοπή συγκεκριμένων δικαιωμάτων, στην κύρια υποδομή πληροφορικής και την υποδομή αντιγράφων ασφαλείας και προκάλεσε κρυπτογράφηση του συστήματος διαχείρισης εικονικών μηχανών και δυσλειτουργίες σε δευτερεύοντα συστήματα και στο δίκτυο δεδομένων.

Η κρυπτογράφηση δεν επηρέασε το σύνολο των εφεδρικών αντιγράφων, το οποίο ανακτήθηκε από την υποδομή αντιγράφων ασφαλείας και χρησιμοποιήθηκε, μετά από ενδελεχή έλεγχο ασφαλείας, για την ανάκαμψη των συστημάτων και υπηρεσιών του Πανεπιστημίου.

Η επίθεση αυτή είχε ως αποτέλεσμα την περιορισμένη διαρροή προσωπικών δεδομένων. Το μέγεθος των δεδομένων που διέρρευσε ανέρχεται σε 813GB, σύμφωνα με τα έως τώρα στοιχεία μας.

Ωστόσο, είναι σημαντικό να διευκρινίσουμε ότι το συγκεκριμένο μέγεθος αντιπροσωπεύει ένα εξαιρετικά μικρό ποσοστό, σε σχέση με τον συνολικό όγκο δεδομένων που διατηρεί το Ίδρυμα (μεγέθους πολλών terabytes), γεγονός που υποδηλώνει ότι η διαρροή είναι περιορισμένης κλίμακας.

Το μέγεθος αυτό μπορεί να συγκριθεί, ενδεικτικά, με τη χωρητικότητα τοπικού δίσκου ενός τυπικού υπολογιστή. Τα διαρρεύσαντα αρχεία περιείχαν, σύμφωνα με τις έως τώρα ενδείξεις, προσωπικά δεδομένα σε διάφορες μορφές αρχείων (κατά κύριο λόγο doc, pdf, excel). Επιπλέον, το αρχείο που έχει διαρρεύσει βρίσκεται στο σκοτεινό διαδίκτυο (dark web), όπου η πρόσβαση απαιτεί εξειδικευμένες, τεχνικές γνώσεις».

Ενέργειες που έγιναν προς αντιμετώπιση του περιστατικού

«Το Ε.Α.Π. εφάρμοσε όλα τα απαραίτητα μέτρα για να διασφαλίσει την ελάχιστη, δυνατή διαρροή ενώ παράλληλα, συνεργάστηκε, άμεσα, με την Εθνική Αρχή Κυβερνοασφάλειας, τη Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος και την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Πιο συγκεκριμένα:

• Από την πρώτη στιγμή του συμβάντος (25/10/2024) ενημερώθηκε τόσο η Εθνική Αρχή Κυβερνοασφάλειας όσο και η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος. Η ενημέρωση είναι συνεχής.
• Γνωστοποιήθηκε, έγκαιρα, το περιστατικό στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ). Η αρχική δήλωση επικαιροποιείται ανάλογα με τα δεδομένα.
• Δημιουργήθηκε Ομάδα Διαχείρισης Περιστατικού.
• Οι Τεχνικές Υπηρεσίες του Ιδρύματος, σε συνεργασία με εξειδικευμένη εταιρεία, προέβησαν, άμεσα, σε όλες τις ενέργειες για την αντιμετώπιση του περιστατικού και τον περιορισμό των επιπτώσεών του. Πιο συγκεκριμένα, την ίδια ημέρα (25/10/2024), έγινε απομόνωση του συμβάντος (διακοπή λειτουργίας των συστημάτων που επηρεάζονται).
• Ενημέρωση των υποκειμένων των δεδομένων και παροχή ενδεικτικών οδηγιών για την προστασία των προσωπικών τους δεδομένων.
• Ενίσχυση της ευαισθητοποίησης του ακαδημαικού και διοικητικού προσωπικού σχετικά με την προστασία των προσωπικών δεδομένων και τους κινδύνους από κυβερνοεπιθέσεις.
• Ετοιμασία προκήρυξης για ενίσχυση της Τεχνικής Υπηρεσίας με επιπρόσθετο εξειδικευμένο προσωπικό.
• Κατατέθηκε μηνυτήρια αναφορά κατά αγνώστου και κατά παντός υπευθύνου για την κακόβουλη επίθεση.
• Έχουν, ήδη, τεθεί σε εφαρμογή στοχευμένα μέτρα ενίσχυσης της ασφάλειας των πληροφοριακών μας συστημάτων ενώ βρίσκεται σε εξέλιξη μία συνολική αναβάθμιση της υποδομής μας, η οποία περιλαμβάνει την ενίσχυση των υφιστάμενων μηχανισμών προστασίας και την προσθήκη επιπρόσθετων δικλίδων ασφαλείας.

Για λόγους ασφαλείας, οι ακριβείς, τεχνικές ενέργειες που έχουν, ήδη, ληφθεί ή προγραμματιστεί να πραγματοποιηθούν δε μπορούν να δημοσιοποιηθούν.

Ενδεχόμενες συνέπειες της διαρροής για τα υποκείμενα των δεδομένων

• Μία διαρροή δεδομένων μπορεί να έχει πιθανές συνέπειες για τα υποκείμενα των δεδομένων, όπως:
• Στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phishing).
• Απόπειρες απάτης, μέσω email ή τηλεφώνου.
• Ενδεχόμενη, μη εξουσιοδοτημένη χρήση προσωπικών πληροφοριών που μπορεί να οδηγήσουν σε απάτες και κακόβουλη χρήση αυτών των προσωπικών πληροφοριών από επιτήδειους ή εγκληματίες.
• Κατάχρηση των δεδομένων για δημιουργία ψεύτικων λογαριασμών ή πλαστογραφία στοιχείων.
• Διαρροή πληροφοριών που μπορεί να οδηγήσει σε κοινωνική μηχανική (social engineering).
• Κακόβουλη χρήση των πληροφοριών, με στόχο απάτη (κυρίως οικονομική).
• Στόχευση για ανεπιθύμητη διαφήμιση ή ανεπιθύμητες κλήσεις (spam).
• Παραβίαση της ιδιωτικής ζωής, μέσω ενδεχόμενης διαρροής προσωπικών δεδομένων σε μη εξουσιοδοτημένα άτομα ή φορείς.
• Υποκλοπή ταυτότητας (identity theft) και χρήση των προσωπικών στοιχείων για δόλιες δραστηριότητες.

Σημειώνεται ότι ο πιθανός αριθμός των εμπλεκόμενων υποκειμένων φαίνεται να είναι, αισθητά, περιορισμένος ενώ και οι κατηγορίες των δεδομένων που ενδέχεται να έχουν διαρρεύσει είναι, σημαντικά, λιγότερες από όσες αναφέρονται.

Παρ’ όλα αυτά, συνιστούμε σε όλους τους ενδιαφερόμενους να λαμβάνουν τα κατάλληλα μέτρα προστασίας, διασφαλίζοντας τα δικαιώματά τους ως υποκείμενα δεδομένων. Με αυτόν τον τρόπο, όχι μόνο συμμορφώνονται με τις απαιτήσεις προστασίας αλλά και ενισχύουν, ενεργά, την ιδιωτικότητά τους», γράφει η ανακοίνωση του ΕΑΠ.

Μέτρα προστασίας για τα υποκείμενα των δεδομένων

Για την προστασία των φοιτητών, το ΕΑΠ συνιστά να ακολουθήσετε τις εξής οδηγίες:

• Αλλάξτε, άμεσα, τους κωδικούς πρόσβασης στους λογαριασμούς σας (ηλεκτρονικού ταχυδρομείου και υπηρεσιών μητρώου). Συνιστάται η χρήση ενός μοναδικού και ισχυρού κωδικού, με τουλάχιστον 10 χαρακτήρες που να περιλαμβάνει συνδυασμό κεφαλαίων και πεζών γραμμάτων, αριθμών και συμβόλων. Επιπλέον, προτείνεται η τακτική αλλαγή του κωδικού, ιδανικά κάθε έξι μήνες.
• Αποφύγετε τη χρήση του ίδιου κωδικού πρόσβασης σε πολλαπλές υπηρεσίες.
• Να είστε προσεκτικοί με emails ή τηλεφωνικές κλήσεις που ζητούν προσωπικά στοιχεία ή οικονομικές πληροφορίες.
• Μην ανοίγετε συνδέσμους και μην κατεβάζετε συνημμένα από άγνωστες ή ύποπτες πηγές.
• Παρακολουθείτε τις συναλλαγές σας για τυχόν μη εξουσιοδοτημένες κινήσεις και ενημερώστε, άμεσα, την τράπεζά σας, σε περίπτωση ύποπτης δραστηριότητας.
• Χρησιμοποιήστε λογισμικό προστασίας από κακόβουλο λογισμικό και διατηρήστε το ενημερωμένο.
• Περιορίστε τη δημοσίευση προσωπικών πληροφοριών σε δημόσιες πλατφόρμες και κοινωνικά δίκτυα.
• Ρυθμίστε ειδοποιήσεις για ύποπτες συνδέσεις ή δραστηριότητα στους λογαριασμούς σας.
• Ενημερώστε, άμεσα, τον πάροχο υπηρεσιών σας εάν παρατηρήσετε ύποπτη δραστηριότητα σε προσωπικούς ή επαγγελματικούς σας λογαριασμούς.
• Σε περίπτωση που αρχίσετε να λαμβάνετε ανεπιθύμητες, εμπορικές κλήσεις, εξετάστε την πιθανότητα εγγραφής σας, μέσω των σχετικών, νόμιμων διαδικασιών στο μητρώο της παρ. 2, άρθρου 11, Ν. 3471/2006.
• Σε περίπτωση που λαμβάνετε ενοχλητικά, διαφημιστικά email, μηνύματα ή μηνύματα τα οποία δε σχετίζονται με την εκπαιδευτική διαδικασία στις ηλεκτρονικές διευθύνσεις που σας έχουν δοθεί από το Ε.Α.Π., παρακαλούμε να τα γνωστοποιείτε στο Γραφείο Δικτυακών και Πληροφοριακών Υπηρεσιών, προωθώντας τα εν λόγω μηνύματα στην email διεύθυνση abuse@eap.gr, έτσι ώστε να λαμβάνονται όλα τα απαραίτητα μέτρα.