Πρωτοφανής κυβερνοεπίθεση στην ΕΕΤΑΑ: Διαρροή ευαίσθητων δεδομένων 2,5 εκατ. πολιτών

Η πρόσφατη κυβερνοεπίθεση που δέχθηκε η Ελληνική Εταιρεία Τοπικής Ανάπτυξης και Αυτοδιοίκησης (ΕΕΤΑΑ) αποκάλυψε μια πρωτοφανή παραβίαση δεδομένων, με τη διαρροή ευαίσθητων προσωπικών πληροφοριών έως και 2,5 εκατομμυρίων γονέων, βρεφών και παιδιών.

Η επίθεση, που εκδηλώθηκε σε δύο φάσεις από τις πρώτες πρωινές ώρες του Σαββάτου 1 Μαρτίου έως τις 14:00 της Τετάρτης 5 Μαρτίου 2025, στόχευσε τα πληροφοριακά συστήματα της ΕΕΤΑΑ, τα οποία υποστηρίζουν κρίσιμες κοινωνικές δράσεις.

Η φύση και η διάρκεια της επίθεσης

Η κυβερνοεπίθεση χαρακτηρίζεται ως ransomware, όπου οι επιτιθέμενοι κρυπτογράφησαν και πιθανώς υπέκλεψαν τις βάσεις δεδομένων των συστημάτων της ΕΕΤΑΑ. Η παραβίαση αφορούσε κυρίως δύο δράσεις:

• Τη «Προώθηση και υποστήριξη παιδιών για την ένταξή τους στην προσχολική εκπαίδευση και την πρόσβαση παιδιών σχολικής ηλικίας, εφήβων και ατόμων με αναπηρία σε υπηρεσίες δημιουργικής απασχόλησης» για την περίοδο 2014-2015 έως 2024-2025.
• Την πιλοτική εφαρμογή της δράσης «Νταντάδες της Γειτονιάς».

Η επίθεση προκάλεσε παραβίαση της εμπιστευτικότητας και διαθεσιμότητας των δεδομένων, χωρίς όμως να θίγει την ακεραιότητα των πληροφοριών, καθώς εκτιμάται ότι υπάρχει δυνατότητα επαναφοράς των βάσεων δεδομένων.

Ποιοι επηρεάζονται και ποια δεδομένα διέρρευσαν

Η παραβίαση αφορά περίπου 700.000 αιτήσεις που καλύπτουν δεκαετή περίοδο, με συνολικό αριθμό υποκειμένων που επηρεάζονται να φτάνει τα 2,5 εκατομμύρια άτομα. Τα δεδομένα αφορούν:

• Τα ωφελούμενα πρόσωπα (βρέφη, νήπια, παιδιά προσχολικής και σχολικής ηλικίας, έφηβοι, άτομα με αναπηρία).
• Τους νόμιμους εκπροσώπους τους (γονείς, κηδεμόνες, ανάδοχους γονείς κ.ά.).
• Νομικούς εκπροσώπους και στελέχη φορέων που παρέχουν τις υπηρεσίες.

Τα στοιχεία που υπέστησαν διαρροή περιλαμβάνουν ονοματεπώνυμα, μητρώνυμα, πατρώνυμα, ημερομηνίες γέννησης, φύλο, ιθαγένεια, ένδειξη ΑΜΕΑ, ΑΦΜ, ΑΜΚΑ, IBAN τραπεζικών λογαριασμών, ΔΟΥ, στοιχεία εισοδήματος, εργασιακή κατάσταση, διεύθυνση κατοικίας, οικογενειακή κατάσταση και φορολογική/ασφαλιστική ενημερότητα.

Αντιδράσεις και μέτρα προστασίας

Η ΕΕΤΑΑ ενημέρωσε άμεσα τις αρμόδιες αρχές, όπως την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ), την Εθνική Αρχή Κυβερνοασφάλειας και την Αστυνομία, υποβάλλοντας και μηνυτήρια αναφορά. Παράλληλα, το Υπουργείο Εσωτερικών και οι Γενικές Γραμματείες που εποπτεύουν τις δράσεις βρίσκονται σε διαρκή συνεργασία με την ΕΕΤΑΑ για την αποκατάσταση των συστημάτων και την ενημέρωση των δικαιούχων.

Το Υπουργείο εφιστά την προσοχή στους πολίτες που επηρεάζονται να μην απαντούν σε ύποπτα emails, SMS ή τηλεφωνικές κλήσεις που ζητούν προσωπικά δεδομένα ή τραπεζικές πληροφορίες, καθώς ενδέχεται να πρόκειται για απόπειρες απάτης6.

Επιπτώσεις και επόμενα βήματα

Η κυβερνοεπίθεση στην ΕΕΤΑΑ αναδεικνύει την ανάγκη ενίσχυσης της κυβερνοασφάλειας σε κρίσιμους δημόσιους φορείς που διαχειρίζονται ευαίσθητα δεδομένα πολιτών. Η διαρροή τόσο προσωπικών όσο και οικονομικών στοιχείων δημιουργεί σοβαρούς κινδύνους για την ιδιωτικότητα και την ασφάλεια των πολιτών, ενώ η έκταση της επίθεσης προκαλεί ανησυχία για τις επιπτώσεις σε κοινωνικές υπηρεσίες που στηρίζουν ευάλωτες ομάδες.

Η ΕΕΤΑΑ έχει ξεκινήσει την αποκατάσταση των συστημάτων της και την επανεκκίνηση των πληρωμών προς τους φορείς που συμμετέχουν στα προγράμματα από τις 31 Μαρτίου 2025, ενώ οι έρευνες για τον εντοπισμό και την τιμωρία των υπευθύνων συνεχίζονται.

Η υπόθεση αυτή αποτελεί ένα ισχυρό καμπανάκι για την κυβερνητική και οργανωτική ετοιμότητα απέναντι σε ψηφιακές απειλές, με την προστασία των προσωπικών δεδομένων να παραμένει κρίσιμο ζήτημα για την κοινωνία και το κράτος.

Σε κοινή ανακοίνωση για την κυβερνοεπίθεση στην ΕΕΤΑΑ τον Μάρτιο προχώρησαν η τομεάρχης ψηφιακής πολιτικής του ΣΥΡΙΖΑ Πόπη Τσαπανίδου και το τμήμα ψηφιακής πολιτικής. 

Στην ανακοίνωση αναφέρουν:

«Η αποκάλυψη της εκτεταμένης διαρροής ευαίσθητων προσωπικών δεδομένων – ΑΦΜ, ΑΜΚΑ, IBAN – εκατομμυρίων πολιτών από την κυβερνοεπίθεση στην ΕΕΤΑΑ, επιβεβαιώνει με τον πιο ανησυχητικό τρόπο αυτό που εδώ και καιρό καταγγέλλουμε: το επιτελικό κράτος της Νέας Δημοκρατίας δεν είναι απλώς ανεπαρκές στην προστασία των ψηφιακών υποδομών, αλλά επικίνδυνα αδιάφορο απέναντι στα θεμελιώδη δικαιώματα των πολιτών.

Από την πρώτη στιγμή που η ΕΕΤΑΑ ανακοίνωσε την κατάρρευση των πληροφοριακών της συστημάτων, καταθέσαμε ερώτηση στη Βουλή ζητώντας πλήρη ενημέρωση και εγγυήσεις για την προστασία των προσωπικών δεδομένων. Την 1η Απριλίου επανήλθαμε δημόσια, απαιτώντας σαφείς απαντήσεις από την κυβέρνηση για το εύρος της διαρροής, τις ευθύνες που απορρέουν και τα άμεσα μέτρα που προτίθεται να λάβει για την προστασία των πολιτών.

Η Νέα Δημοκρατία διαφημίζει έναν «ψηφιακό μετασχηματισμό» που περιορίζεται σε φανταχτερά apps και επικοινωνιακά πυροτεχνήματα. Η πραγματικότητα, όμως, αποδεικνύεται πολύ διαφορετική: η ασφάλεια των πολιτών τίθεται σε διαρκή κίνδυνο και η αξιοπρέπειά τους γίνεται θύμα της κυβερνητικής αδράνειας.

Η προστασία των προσωπικών δεδομένων δεν είναι πολυτέλεια, ούτε μπορεί να θεωρείται παράπλευρη απώλεια της ψηφιακής μετάβασης. Είναι θεμελιώδες δημοκρατικό δικαίωμα και συνταγματική υποχρέωση της Πολιτείας να το διασφαλίζει.

Ο ΣΥΡΙΖΑ – ΠΣ δεν πρόκειται να αφήσει αυτό το σοβαρό ζήτημα να θαφτεί. Θα συνεχίσουμε να ασκούμε υπεύθυνο, τεκμηριωμένο και θεσμικά θωρακισμένο έλεγχο. Διεκδικούμε ένα πραγματικά ασφαλές, διαφανές και δημοκρατικό ψηφιακό κράτος, με τους πολίτες στο επίκεντρο».