Πρόστιμα επέβαλε η Αρχή Προστασίας Δεδομένων στην Cosmote και στον ΟΤΕ για το περιστατικό κυβερνοεπίθεσης που είχε σημειωθεί τον Σεπτέμβριο του 2020. Όπως είχε ανακοινώσει η Cosmote τον Οκτώβριο του ίδιου έτους, κατά τη διάρκεια ελέγχου των συστημάτων της είχε ανιχνευθεί μία μη εξουσιοδοτημένη εξαγωγή αρχείου από σύστημα της εταιρείας, το οποίο περιελάμβανε στοιχεία, χωρίς ονοματεπώνυμο, των κλήσεων που πραγματοποίησαν ή δέχθηκαν συνδρομητές κινητής μεταξύ 1 και 5 Σεπτεμβρίου 2020 (αριθμό τηλεφώνου, ημέρα και ώρα πραγματοποίησης της κλήσης και διάρκειά της).
Από την ανάλυση των αρχείων καταγραφής της Cosmote προέκυψε ότι ο χάκερ, μέσω λιθουανικής IP, κατάφερε να αποκτήσει διαχειριστική πρόσβαση, χρησιμοποιώντας τον κωδικό πρόσβασης ενός διαχειριστή του ΟΤΕ, ο οποίος είχε επέλθει στην κατοχή του μετά από περιστατικό διαρροής κωδικών πρόσβασης στο LinkedIn. Στη συνέχεια, ο χάκερ κατάφερε να εκτελέσει ερωτήματα σε σύστημα Big Data της Cosmote, από το οποίο εξήγαγε το αρχείο. Προέκυψε επίσης ότι προς την ίδια λιθουανική IP είχαν πραγματοποιηθεί άλλες τέσσερις μεταφορές δεδομένων, μεγαλύτερες από 1GB, από server της Cosmote, χωρίς να εντοπιστεί το είδος των δεδομένων που διαβιβάστηκαν μέσω της εν λόγω διαδικτυακής κίνησης.
Σε έκτακτη συνεδρίαση της Αρχής Προστασίας Δεδομένων τον περασμένο Νοέμβριο, και αφού άκουσε την πλευρά της Cosmote και του ΟΤΕ, έκρινε ότι από την εξέταση των στοιχείων προκύπτουν συνολικά έξι ευπάθειες σε σχέση με τα μέτρα ασφάλειας, οι οποίες αξιοποιήθηκαν άμεσα ή έμμεσα από τον χάκερ, ενώ το μοντέλο λειτουργίας των δύο εταιρειών, που δρουν από κοινού μεν ως προς τα συστήματα, αλλά ανεξάρτητα η κάθε μία, κρίθηκε ως μη σύμφωνο με την αρχή της λογοδοσίας. Εν τέλει, η Αρχή επέβαλε στην Cosmote πρόστιμο 6.000.000 ευρώ και κύρωση διακοπής επεξεργασίας και καταστροφής δεδομένων, ενώ στον ΟΤΕ πρόστιμο 3.250.000 ευρώ.
Τι απαντά η εταιρεία
Απαντώντας στην Αρχή, η Cosmote σημειώνει ότι εφάρμοζε και εφαρμόζει όλα τα διαθέσιμα μέτρα για τη θωράκιση των υποδομών της. «Η ίδια ανίχνευσε την κυβερνοεπίθεση, έλαβε όλα τα αναγκαία μέτρα και ενημέρωσε από την πρώτη στιγμή τις αρμόδιες Αρχές, όπως προβλέπεται. Όπως αναγνωρίζει και η Αρχή, η εταιρεία συνεργάστηκε πλήρως με την ΑΠΔΠΧ και έλαβε μέτρα για την αντιμετώπιση του περιστατικού. Από την πλευρά των πελατών, δεν χρειάστηκε και δεν χρειάζεται να γίνει καμία ενέργεια. Σε κάθε περίπτωση, η εταιρεία επιφυλάσσεται κάθε νόμιμου δικαιώματός της». Τέλος σημειώνει πως «το αρχείο που είχε εξαχθεί παρανόμως δεν περιελάμβανε περιεχόμενο κλήσεων (συνομιλίες) ή περιεχόμενο μηνυμάτων, ονοματεπώνυμα ή διευθύνσεις, ούτε κωδικούς πρόσβασης ή δεδομένα πιστωτικών καρτών ή τραπεζικών λογαριασμών»