Διαδικτυακή επίθεση σημειώθηκε από την 1η έως την 5η Σεπτεμβρίου σε σύστημα της COSMOTE.
Όπως αναφέρει η εταιρεία σε σχετική ανακοίνωση προς τους συνδρομητές της εξηγεί ότι κατά τη διάρκεια ελέγχου των συστημάτων της, ανιχνεύτηκε μη εξουσιοδοτημένη εξαγωγή αρχείου από σύστημα της εταιρείας, ως αποτέλεσμα κυβερνοεπίθεσης.
Το εν λόγω αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της. Εμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI[1], ηλικία, φύλο, ARPU[2], συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής των συνδρομητών COSMOTE. Τα στοιχεία αυτά χρησιμοποιούνται από την εταιρεία για τη βελτιστοποίηση του δικτύου και των παρεχόμενων υπηρεσιών.
Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών.
Δεν απαιτείται καμία ενέργεια από την πλευρά των πελατών.
Η εταιρεία απέκλεισε άμεσα την πρόσβαση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη και μέχρι στιγμής, δεν υπάρχει καμία ένδειξη περί δημοσιοποίησης ή άλλης χρήσης του παρανόμως αποκτηθέντος αρχείου.
Το φαινόμενο των κυβερνοεπιθέσεων (cyberattacks) παγκοσμίως, αποτελεί καθημερινότητα για όλα τα συστήματα τεχνολογίας εταιρειών, οργανισμών και θεσμών.
Τα συστήματα κυβερνοασφάλειας της εταιρείας αποκρούουν κάθε μήνα πάνω από 500 χιλιάδες κακόβουλες επιθέσεις τρίτων και επιθέσεις άρνησης υπηρεσιών (DDoS).
Στο κείμενο που ακολουθεί η Cosmote απαντά σε σημαντικά ερωτήματα σε σχέση με την επίθεση:
1. Τι συνέβη;
Κατά τη διάρκεια ελέγχου των συστημάτων της εταιρείας, ανιχνεύτηκε μη εξουσιοδοτημένη εξαγωγή αρχείου από σύστημα της εταιρείας, ως αποτέλεσμα κυβερνοεπίθεσης.
2. Πότε έγινε η εξαγωγή του αρχείου;
Στις 8/9, λίγη ώρα πριν τον έλεγχο των συστημάτων.
3. Τι περιείχε το αρχείο;
Το αρχείο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής το πενθήμερο 1 έως 5/9/2020 και συγκεκριμένα: αριθμούς τηλεφώνου, ημέρα και ώρα πραγματοποίησης ή λήψης εισερχόμενης κλήσης και διάρκειά της. Eμφανίζονταν, επιπλέον, τύπος συσκευής, IMSI[1], ηλικία, φύλο, ARPU[2], συντεταγμένες σταθμού βάσης και πρόγραμμα κινητής.
Τα στοιχεία αυτά χρησιμοποιούνται από την εταιρεία για την βελτιστοποίηση του δικτύου και των παρεχόμενων υπηρεσιών.
Το αρχείο δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών.
4. Υπήρχε πρόσβαση στο περιεχόμενο των κλήσεων;
Κατηγορηματικά όχι.
5. Πόσους συνδρομητές αφορά;
Αφορά σε συνδρομητές που πραγματοποίησαν ή δέχτηκαν κλήση κινητής το συγκεκριμένο πενθήμερο.
6. Αφορά και συνδρομητές άλλων παρόχων;
Εάν κάποιος κάλεσε στο κινητό ή δέχθηκε κλήση από συνδρομητή της εταιρείας το εν λόγω πενθήμερο, περιλαμβάνεται στο αρχείο ο αριθμός τηλεφώνου και μόνο.
7. Είμαι συνδρομητής COSMOTE κινητής. Τι πρέπει να κάνω;
Ο συνδρομητής δεν χρειάζεται να προβεί σε καμία ενέργεια.
8. Πώς μπορώ να έχω περισσότερες πληροφορίες;
Εφόσον το επιθυμείτε, μπορείτε να ακολουθήσετε τη διαδικασία ταυτοποίησης σύμφωνα με την ισχύουσα νομοθεσία πατώντας εδώ.
9. Τι έκανε η εταιρεία για να αντιμετωπίσει το περιστατικό;
Η εταιρεία απέκλεισε άμεσα την πρόσβαση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται από την Ελληνική και Ευρωπαϊκή νομοθεσία.
10. Τι έκαναν οι χάκερς τα στοιχεία αυτά;
Η διερεύνηση του συμβάντος βρίσκεται σε εξέλιξη και, μέχρι στιγμής, δεν υπάρχει καμία ένδειξη περί δημοσιοποίησης ή άλλης χρήσης του παρανόμως αποκτηθέντος αρχείου.
11. Πώς κατάφεραν να διεισδύσουν στα συστήματα της εταιρείας;
Το φαινόμενο των κυβερνοεπιθέσεων (cyberattacks) παγκοσμίως, αποτελεί καθημερινότητα για όλα τα συστήματα τεχνολογίας εταιρειών, οργανισμών και θεσμών.
Μόνο τα συστήματα κυβερνοασφάλειας της εταιρείας αποκρούουν κάθε μήνα πάνω από 500 χιλιάδες κακόβουλες επιθέσεις τρίτων και επιθέσεις άρνησης υπηρεσιών (DDoS).
Στη συγκεκριμένη περίπτωση, τα στοιχεία καταδεικνύουν πως η επίθεση ξεκίνησε με τεχνική Remote File Inclusion (RFI).
12. Η επίθεση ανιχνεύτηκε στις 8/9. Γιατί γνωστοποιείτε τώρα το περιστατικό;
Διότι η άμεση δημοσιοποίηση της επίθεσης θα διακινδύνευε τη σωστή διερεύνηση και αντιμετώπισή του συμβάντος. Σε κάθε περίπτωση, η εταιρεία απέκλεισε άμεσα την πρόσβαση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται από την ισχύουσα Εθνική και Ευρωπαϊκή νομοθεσία.
13. Πότε θα ολοκληρωθεί η διερεύνηση του συμβάντος;
Η αρχική διερεύνηση έχει ολοκληρωθεί. Η διερεύνηση σε βάθος συνεχίζεται.