ΤΕΥΧΟΣ #12 Απρίλιος 2020

Προσωπικά Δεδομένα: η Αχίλλειος Πτέρνα των Επιχειρήσεων στη Μάχη τους με τους Χάκερς

Αθανασία Λιονάτου

Τα προσωπικά δεδομένα έχουν σήμερα τέτοια περιουσιακή αξία σε σημείο που δικαιολογημένα να χαρακτηρίζονται ως ο νέος χρυσός του 21ου αιώνα[1]. Ιδιαίτερα στο πλαίσιο της λειτουργίας μιας επιχείρησης, τα προσωπικά δεδομένα παίζουν κομβικό ρόλο καθώς από τη μία μπορούν να προσφέρουν ανταγωνιστικό πλεονέκτημα στην επιχείρηση που τα κατέχει από την άλλη όμως μια πιθανή υφάρπαξή τους από τους εγκληματίες του κυβερνοχώρου μπορεί να πάρει νομικές διαστάσεις και να έχει σημαντικό οικονομικό αντίκτυπο για μια επιχείρηση.

Στο παρόν άρθρο παρουσιάζονται πέντε περιπτώσεις πασίγνωστων και με εξέχουσα θέση στο χώρο τους επιχειρήσεων, οι οποίες όμως δεν κατάφεραν να μείνουν αλώβητες από κυβερνοεπιθέσεις με στόχο την κλοπή προσωπικών δεδομένων. Θα μπορούσε βέβαια να αναρωτηθεί κανείς για ποιους λόγους η κλοπή προσωπικών δεδομένων είναι το νέο λάφυρο για τους εγκληματίες του κυβερνοχώρου (cybercriminals), με άλλα λόγια πού χρησιμεύουν στους χάκερς τα προσωπικά δεδομένα που κλέβουν από τις εταιρείες και κατόπιν αυτού να αναρωτηθεί επίσης ποιο είναι το προφίλ αυτών των ατόμων. Παρόλο που υπάρχουν και άλλοι λόγοι για τους οποίους οι χάκερς επιθυμούν να αποκτήσουν προσωπικά δεδομένα[2], το παρόν άρθρο εστιάζει αποκλειστικά στο κέρδος ως κίνητρο των δραστών και εξηγεί τον τρόπο με τον οποίο τα προσωπικά δεδομένα αποφέρουν κέρδος στους χάκερς. Τέλος  γίνεται μια σύντομη αναφορά στο εγκληματικό προφίλ των χάκερς.

Πρόσφατες Υποθέσεις Κλοπής Προσωπικών Δεδομένων με Θύματα Εταιρείες-Κολοσσούς

Mastercard

Ημερομηνία: Αύγουστος 2019

Δεδομένα που εκλάπησαν : ονόματα, διευθύνσεις, τηλεφωνικοί αριθμοί, ημερομηνίες γενεθλίων, αριθμοί τραπεζικών καρτών

Αριθμός πληττόμενων πελατών: 90.000

Τον Αύγουστο του 2019, έγινε γνωστό ότι τα προσωπικά δεδομένα σχεδόν 90.000 πελατών της Mastercard στη Γερμανία υπεκλάπησαν.[3] Η υποκλοπή έγινε γνωστή όταν προσωπικά δεδομένα χιλιάδων συνδρομητών της Mastercard Γερμανίας βρέθηκαν δημοσιευμένα σε ένα διαδικτυακό φόρουμ.[4]

Το συμβάν αυτό, έφερε τη Mastercard Γερμανίας αντιμέτωπη με τους συνδρομητές-θύματα της κυβερνοεπίθεσης και τα επίσημα παράπονα τους στην αρχή προστασίας Προσωπικών δεδομένων της Γερμανίας (Hessian Data ProtectionAuthority). Η υπόθεση είναι υπό διερεύνηση και δεν αποκλείεται η επιβολή προστίμου στην εταιρεία αλλά και η καταβολή αποζημίωσης στους πελάτες των οποίων τα δεδομένα διέρρευσαν στο διαδίκτυο.

My Fitness Pal (Under Armor)

Ημερομηνία:  Φεβρουάριος 2018

Αριθμός πληττόμενων πελατών: 150 εκατομμύρια

Δεδομένα που εκλάπησαν: λογαριασμοί χρηστών, IP διευθύνσεις, emails

Τον Φεβρουάριο του 2018, η εφαρμογή ‘‘My Fitness Pal’’ της εταιρείας UnderArmor, έγινε το αντικείμενο κυβερνοεπίθεσης. Η επίθεση είχε ως αποτέλεσμα να κλαπούν και να πουληθούν το 2019 στο Dark Web[5] τα προσωπικά δεδομένα 150 εκατομμύρια χρηστών της.

Οι καταναλωτές άσκησαν συλλογική αγωγή (class action)[6] ζητώντας αποζημίωση για τη διαρροή και πώληση των προσωπικών τους δεδομένων σε ιστότοπους του σκοτεινού διαδικτύου. Τον Φεβρουάριου του 2019, το δικαστήριο της Καλιφόρνια παρέπεμψε την υπόθεση στη διαιτησία βάσει ενός όρου (clause) στους γενικούς όρους χρήσης της εφαρμογής που όριζε τη διαιτησία ως αρμόδια για την επίλυση διαφορών της εταιρείας με τους καταναλωτές της.[7]

E-bay

Ημερομηνία: Μάιος 2014

Δεδομένα που εκλάπησαν: ονόματα, διευθύνσεις, ημερομηνίες γέννησης, κωδικοί πρόσβασης

Αριθμός πληττόμενων πελατών: 145 εκατομμύρια

Tον Μάιο του 2014, το eBay δέχτηκε επίθεση που εξέθεσε τα προσωπικά δεδομένα 145 εκατομμυρίων χρηστών, συμπεριλαμβανομένων των ονομάτων, των διευθύνσεων, των ημερομηνιών γέννησης και των κρυπτογραφημένων κωδικών πρόσβασης. Εκπρόσωποι της εταιρίας, ανακοίνωσαν ότι οι χάκερς χρησιμοποίησαν τα διαπιστευτήρια τριών εταιρικών υπαλλήλων για πρόσβαση στο δίκτυό του[8]. Είναι αξιοσημείωτο ότι οι χάκερς  είχαν πλήρη πρόσβαση στο δίκτυο της εταιρείας για  πάνω από 220 ημέρες.

Παρόλο που ασκήθηκε συλλογική αγωγή των καταναλωτών για τη διαρροή των προσωπικών τους δεδομένων, το 2015 το δικαστήριο απέρριψε την αγωγή τους.[9]

Adobe

Ημερομηνία: Οκτώβριος 2013

Δεδομένα που εκλάπησαν: ονόματα, κωδικοί χρήσης,  ημερομηνίες γέννησης, κωδικοί πρόσβασης, πληροφορίες χρεωστικών και πιστωτικών καρτών

Αριθμός πληττόμενων πελατών: 38 εκατομμύρια

Τον Οκτώβριο του 2013, η Adobe έπεσε θύμα των χάκερς οι οποίοι έκλεψαν τα ονόματα, τους κωδικούς πρόσβασης καθώς και στοιχεία πιστωτικών και χρεωστικών καρτών.

Σχεδόν τρία χρόνια αργότερα, τον Νοέμβριο του 2016, η Adobe  δέχτηκε να καταβάλει στις Αμερικανικές Αρχές 1 εκατομμύριο δολάρια ως πρόστιμο.[10] Ένα χρόνο νωρίτερα είχε επιτύχει συμβιβασμό με τους χρήστες που επλήγησαν και που άσκησαν αγωγή αποζημίωσης εναντίον της, καταβάλλοντάς τους ένα ποσό -το οποίο δεν δημοσιεύτηκε - προκειμένου  να συμβιβάσει τις αξιώσεις τους περί παραβίασης των προσωπικών τους δεδομένων[11].

LinkedΙn

Ημερομηνία: 2012

Δεδομένα που εκλάπησαν: κωδικοί πρόσβασης

Αριθμός πληττόμενων πελατών: 100 εκατομμύρια

Το 2012 η εταιρεία ανακοίνωσε ότι 6,5 εκατομμύρια κωδικοί πρόσβασης εκλάπησαν και δημοσιεύθηκαν σε ένα ρωσικό φόρουμ για χάκερ. Ωστόσο, το 2016 η εταιρεία παραδέχθηκε ότι ο αριθμός των κλαπέντων κωδικών πρόσβασης των μελών του Linkedin ήταν τελικά πολύ μεγαλύτερος και έφτανε τα 100 εκατομμύρια.[12] Ο χάκερ μάλιστα, πωλούσε τις διευθύνσεις ηλεκτρονικού ταχυδρομείου και τους κωδικούς πρόσβασης περίπου 165 εκατομμυρίων χρηστών του LinkedIn για 5 bitcoins που αντιστοιχούσαν τότε σε $ 2,200. [13]

Και σε αυτή την περίπτωση οι καταναλωτές άσκησαν συλλογική αγωγή και το Linkedin κλήθηκε να καταβάλει $ 1.25 εκατομμύρια προκειμένου να συμβιβάσει την υπόθεση.[14]

Πώς αποκομίζουν κέρδος οι χάκερς από την κλοπή των προσωπικών δεδομένων;

Υπάρχουν περιπτώσεις όπου οι χάκερς κατάφεραν να αποκομίσουν κέρδος από κλεμμένα προσωπικά δεδομένα χρησιμοποιώντας τα οι ίδιοι για να κάνουν αγορές ή να διαπράξουν κάποια απάτη. Για παράδειγμα, μπορούν να προβούν σε αγορές αντικειμένων κλέβοντας και χρησιμοποιώντας τις εξατομικευμένες πληροφορίες των τραπεζικών καρτών πληρωμής, μπορούν να κάνουν αίτηση για τραπεζικά δάνεια, αίτηση για πιστωτικές κάρτες, ακόμη και να χρησιμοποιήσουν τις πληροφορίες για την αποπληρωμή κάποιου χρέους τους

Ωστόσο, αυτές οι περιπτώσεις είναι σχετικά σπάνιες δεδομένου ότι οι χάκερς ως «έμπειροι» στο χώρο του κυβερνοεγκλήματος γνωρίζουν ότι η διάπραξη μιας απάτης είναι πιθανό να προσελκύσει την προσοχή των αρχών με πιθανό ρίσκο να εντοπιστούν τα ίχνη τους και να κινδυνεύσουν να συλληφθούν. Για αυτό το λόγο, στη συντριπτική τους πλειοψηφία προτιμούν την ανώνυμη πώληση των προσωπικών δεδομένων στο dark web.  Ο τρόπος που ακολουθείται είναι η πώληση των δεδομένων σε ένα τρίτο μέρος, τον αποκαλούμενο «μεσίτη» (data broker), ο οποίος αφού αγοράσει τα προσωπικά δεδομένα θα τα μεταπωλήσει σε ένα ευρύτερο δίκτυο.

Έχει παρατηρηθεί μάλιστα το φαινόμενο, ορισμένοι χάκερς να προσβάλλουν πολλαπλές εταιρίες και έπειτα να πουλούν τα δεδομένα που έχουν κλέψει από όλες αυτές τις εταιρίες ως ένα ενιαίο σύνολο.

Επιπλέον, αξίζει να σημειωθεί ότι η κλοπή προσωπικών δεδομένων μπορεί να σχετίζεται και με προσοδοφόρα εγκλήματα εκτός διαδικτύου. Συχνά τα χρήματα που κερδίζουν με την πώληση των προσωπικών δεδομένων τα χρησιμοποιούν για τη χρηματοδότηση ναρκωτικών, όπλων και διάφορων μορφών του οργανωμένου  μη διαδικτυακού εγκλήματος

Ποιο Είναι το Εγκληματικό Προφίλ των Χάκερς;

Ποιοι είναι όμως αυτοί οι αόρατοι εγκληματίες που καταφέρνουν να διαταράσσουν τη λειτουργία ακόμη και των πιο ισχυρών εταιρειών;  Η διαδικτυακή συμπεριφορά και δραστηριότητα των χάκερς αφήνει ίχνη που μπορούν να χρησιμοποιηθούν για να χτίσουν το προφίλ τους.[15]

Οι χάκερς εν γένει απαρτίζονται από ένα εξαιρετικά ανομοιογενές γκρουπ ατόμων κάθε φύλου, ηλικίας και κοινωνικοοικονομικής κατάστασης. Το στερεότυπο ότι είναι νέοι, άνδρες και κοινωνικά απομονωμένοι τύποι, δεν επαληθεύεται.[16]

Ωστόσο, συγκεκριμένα οι χάκερς που αποσκοπούν σε χρηματικά κέρδη, και ιδίως οι υποκλοπείς των προσωπικών δεδομένων, είναι στην πλειοψηφία τους μέλη καλά διαρθρωμένων εγκληματικών οργανώσεων που δραστηριοποιούνται κυρίως σε υποθέσεις παραβίασης ηλεκτρονικών συστημάτων και λειτουργούν κατά τα πρότυπα μεγάλων επιχειρήσεων. [17]

Συμπερασματικά

Όπως γίνεται αντιληπτό, θύμα κλοπής προσωπικών δεδομένων μπορεί να είναι οποιαδήποτε επιχείρηση ανεξαρτήτως του είδους των υπηρεσιών που παρέχει και ανεξαρτήτως του μεγέθους και της ισχύος της στην αγορά. Ακόμη και οι πιο ισχυρές εταιρείες δεν είναι άτρωτες. Ο αριθμός δε των δεδομένων που μπορούν να κλέψουν οι χάκερς είναι τόσο μεγάλος που σε πολλές περιπτώσεις αντιστοιχεί στα δεδομένα εκατομμυρίων ανθρώπων. Σαν αποτέλεσμα των cyberattacks, οι επιχειρήσεις βρίσκονται συχνά αντιμέτωπες με νομικές διεκδικήσεις των καταναλωτών τους, μπαίνουν σε μακροχρόνιους δικαστικούς αγώνες και συχνά καλούνται να καταβάλουν μεγάλα χρηματικά ποσά είτε ως πρόστιμο είτε ως αποζημίωση στους καταναλωτές, με συνέπεια, όπως διαφαίνεται, η διαρροή προσωπικών δεδομένων να αποτελεί αδύνατο σημείο των επιχειρήσεων στη μάχη με τους κερδοσκόπους χάκερς.

Αθανασία Λιονάτου, Δικηγόρος ΔΣΑ, LLM International Law & Globalization, Maastricht University.

[1] Τα προσωπικά δεδομένα θεωρούνται ως ο νέος ‘‘χρυσός’’ για πολλές επιχειρήσεις. Eνδεικτικά τα προσωπικά δεδομένα θεωρούνται ως ο νέος χρυσός για το μέλλον του real estate.  Δείτε το report της Deloitte, ‘Data is the new gold’ διαθέσιμο στον ιστότοπο: https://www2.deloitte.com/global/en/pages/real-estate/articles/future-real-estate-data-new-gold.html

Επίσης δείτε στο περιοδικό ‘The Economist’ το άρθρο ‘Regulating the internet giants. The world’s most valuable resource is no longer oil, but data’, διαθέσιμο στον ιστότοπο  https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data.

[2] Λ.χ ηθικοί λόγοι, ενδεικτικό παράδειγμα αυτής της κατηγορίας είναι οι χάκερς που επιτέθηκαν το 2015 στην εταιρεία Ashley Madison, μια εταιρεία που διατηρεί μια πλατφόρμα που επιτρέπει και ενθαρρύνει τις εξωσυζυγικές υποθέσεις. Οι χάκερς απέκτησαν πρόσβαση και εξέθεσαν δημόσια τα προφίλ των 32 εκατομμυρίων εγγεγραμμένων χρηστών της με σκοπό να ντροπιάσουν τους χρήστες της πλατφόρμας και να στείλουν ηθικά μηνύματα και. Για περισσότερες πληροφορίες σχετικά με την υπόθεση δείτε στον ιστότοπο https://en.wikipedia.org/wiki/Ashley_Madison_data_breach Ένα άλλο παράδειγμα χάκερς που δεν είχαν σκοπό το κέρδος είναι οι χάκερς που ‘‘χτύπησαν’’ το 2017 την Equifax, μια εταιρεία με σημαντική θέση το χώρο της παροχής πιστώσεων στις ΗΠΑ. Οι χάκερς δεν δημοσίευσαν ούτε χρησιμοποίησαν τα δεδομένα που έκλεψαν για να βγάλουν κέρδος. Οι ΗΠΑ κατηγορούν ότι πίσω από την επίθεση βρίσκονται χάκερς- πράκτορες του Κινεζικού στρατού. Για περισσότερες πληροφορίες δείτε το άρθρο του Allen St John ‘’Justice Department Charges Chinese Nationals WithEquifax Data Breach’’ διαθέσιμο στον ιστότοπο:  https://www.consumerreports.org/data-theft/justice-department-charges-chinese-nationals-in-equifax-data-breach/

[3] Δείτε τη δήλωση της Αρχής Προστασίας Προσωπικών δεδομένων του Βελγίου (όπου έχει την έδρα της η Mastercard) διαθέσιμη στα αγγλικά στον ιστότοπο: https://www.dataprotectionauthority.be/news/belgian-and-german-data-protection-authorities-collaborate-mastercard-data-breach

[4] Δείτε το άρθρο του Neil Hodge, ‘Mastercard reveals data breaches in third-party loyalty program’ διαθέσιμο στον ιστότοπο:  https://www.complianceweek.com/data-privacy/mastercard-reveals-data-breaches-in-third-party-loyalty-program/27614.article   

[5] To σκοτεινό διαδίκτυο είναι μέρος του διαδικτύου που δεν ανιχνεύεται από τις μηχανές αναζήτησης και είναι χώρος διεξαγωγής παράνομων δραστηριοτήτων και αγοραπωλησιών. Για περισσότερες πληροφορίες για το Dark web, δείτε το άρθρο της Θ. Σπαθή  ‘Dark web: To σκοτεινό διαδίκτυο’ διαθέσιμο στον ιστότοπο: http://www.crimetimes.gr/dark-web-%cf%84%ce%bf-%cf%83%ce%ba%ce%bf%cf%84%ce%b5%ce%b9%ce%bd%cf%8c-%ce%b4%ce%b9%ce%b1%ce%b4%ce%af%ce%ba%cf%84%cf%85%ce%bf/

[6] Δείτε το άρθρο του C Rizzi, ‘Class Action Suit Filed Against Under Armour Over ‘MyFitnessPal’ App Data Breach’ διαθέσιμο στον ιστότοπο:

https://www.classaction.org/news/class-action-suit-filed-against-under-armour-over-myfitnesspal-app-data-breach

[7] ‘MyFitnessPal Data Breach Lawsuit Sent to Arbitration’

https://www.jdsupra.com/legalnews/myfitnesspal-data-breach-lawsuit-sent-49746/

[8] Δείτε το άρθρο των J. Finkle, D. Seetharaman ‘Cyber Thieves Took Data On 145 Million eBay Customers By Hacking 3 Corporate Employees’ διαθέσιμο στον ιστότοπο:

https://www.businessinsider.com/cyber-thieves-took-data-on-145-million-ebay-customers-by-hacking-3-corporate-employees-2014-5/

[9]  Δείτε το άρθρο της K. Basso ‘ eBay Data Breach Class Action Dismissed by Federal Judge’ διαθέσιμο στον ιστότοπο:https://topclassactions.com/lawsuit-settlements/lawsuit-news/55316-ebay-data-breach-class-action-dismissed-by-federal-judge/

[10] Δείτε το άρθρο ‘Adobe Fined $1M in Multistate Suit Over 2013 Breach; No Jail for Spamhaus Attacker’, διαθέσιμο στον ιστότοποhttps://krebsonsecurity.com/2016/11/adobe-fined-1m-in-multistate-suit-over-2013-breach-no-jail-for-spamhaus-attacker/

[11]Δείτε το άρθρο ‘Adobe settles giant 2013 data breach class action suit’ διαθέσιμο στον ιστότοπο http://www.itnews.com.au/news/adobe-settles-giant-2013-data-breach-class-action-suit-407993 και

[12] Δείτε την ανακοίνωση στο επίσημο blog της εταιρείας: https://blog.linkedin.com/2016/05/18/protecting-our-members

[13] D. Victor, ‘LinkedIn Says Hackers Are Trying to Sell Fruits of Huge 2012 Data Breach’ διαθέσιμο στον ιστότοποhttps://www.nytimes.com/2016/05/19/business/linkedin-says-hackers-are-trying-to-sell-fruits-of-huge-2012-data-breach.html

[14]Δείτε το άρθρο ‘‘Linkedin will pay $ 1.25 million to settle suit over password breach’’ διαθέσιμο στον ιστότοποhttps://www.zdnet.com/article/linkedin-will-pay-1-25-million-to-settle-suit-over-password-breach/

[15] Ο Marcus Rogers (2006) δημιούργησε μια ενημερωμένη ταξινόμηση χάκερ που περιλαμβάνει εννέα διακριτικές κατηγορίες. Αυτές οι κατηγορίες είναι αρχάριοι, κυβερνο-πανκ, εσωτερικοί, μικροί κλέφτες, συγγραφείς ιών, παλαιά hackers φρουρών, επαγγελματίες εγκληματίες και πολεμιστές πληροφοριών. https://www.sbs.ox.ac.uk/cybersecurity-capacity/content/profiling-cybercriminal

[16]  Δείτε το άρθρο: https://securethoughts.com/hackers-unmasked-anonymous-face/

[17] Για περισσότερες πληροφορίες δείτετο άρθρο ‘Cybercrime Inc: How hacking gangs are modeling themselves on big business Cybercrime Inc: How hacking gangs are modeling themselves on big business’ διαθέσιμο στον ιστότοπο https://www.zdnet.com/article/cybercrime-inc-how-hacking-gangs-are-modeling-themselves-on-big-business/