Η είδηση προκάλεσε σοκ: Χάκερς «χτύπησαν» την Τράπεζα Πειραιώς και διέρρευσαν στο διαδίκτυο προσωπικά δεδομένα χιλιάδων πελατών της. Η διαρροή αφορούσε μεταξύ άλλων εργαζόμενους σε μεγάλη αλυσίδα σούπερ μάρκετ, αγρότες από την Κρήτη, υπαλλήλους της ΕΛΒΟ, του τηλεοπτικού σταθμού ALTER και του νοσοκομείου Πεντέλης (γιατρούς, νοσηλευτές, κ.ά.).
Του ΝΙΚΟΥ ΝΙΚΟΛΕΤΑΚΗ
Οι πελάτες της Τράπεζας προσέφυγαν στη Δικαιοσύνη για την διαρροή των ευαίσθητων προσωπικών τους δεδομένων στο διαδίκτυο. – Ετοιμάζεται νέα αγωγή – μαµούθ κατά εταιρείας – κολοσσού της ελληνικής αγοράς!
Οι χάκερς που αυτοαποκαλούνται «H4F» (hack 4 fame) ανέβασαν στο διαδίκτυο αναλυτικά στοιχεία (ονοματεπώνυμο, διεύθυνση, τηλέφωνα, ΑΦΜ, αριθμούς λογαριασμών, καρτών κ.λπ). Υπήρχαν ακόμα αναλυτικά στοιχεία από εξτρέ τραπεζικών συναλλαγών, βεβαιώσεις μισθοδοσίας και τόκων. Ανάμεσα στα ονόματα που διέρρευσαν οι χάκερς ήταν σύμφωνα με πληροφορίες και όσοι βρίσκονταν στη λεγόμενη «μαύρη λίστα» των τραπεζών.
Οι αποκαλύψεις
Η ομάδα χάκερ «hack 4 fame» ξεκίνησε τις αποκαλύψεις τον Σεπτέμβριο του 2009. Αφού έκαναν «επίθεση» στο «Πρώτο Θέμα» Online, δημοσιοποίησαν στο διαδίκτυο τις λεγόμενες «ροζ ατζέντες μάνατζερ». Μια λίστα με διάφορα αρχεία που περιελάμβανε, μεταξύ άλλων, φωτογραφίες επωνύμων σε προσωπικές στιγμές, συμβόλαια και προκαταβολές καλλιτεχνών, ποδοσφαιριστών, διάσημων αθλητών κ.λπ.
Η ομάδα των χάκερς ανέβασε το υλικό στο http://hack4fame.blogspot.gr.Στην ιστοσελίδα τους αναφέρουν μεταξύ άλλων: «Το Hack 4 Fame Hacking Group είναι ένα κίνημα αγανακτισμένων πολιτών το οποίο αντιτίθεται σε οποιοδήποτε είδος κοροϊδίας. Είτε αυτή προέρχεται από τους πολιτικούς που μας κυβερνάνε είτε από δημοσιογράφους που μας πουλάνε φύκια για μεταξωτές κορδέλες, δήθεν επιχειρηματίες, εφοπλιστές-«βαποράκια», celebrities -ξαπλωτούς και μη και όλους όσους ακόμα πιστεύουν ότι ο ΕΛΛΗΝΑΣ μασάει κουτόχορτο…».
Τα αρχεία δημοσιοποιήθηκαν στο δημοφιλέστατο τότε blogspot «troktiko» και σε μια σειρά από άλλα blog και ιστοστελίδες.
Τον Φεβρουάριο του 2010 οι χάκερς ανέβασαν στα ίδια blog φωτογραφίες – screenshots από «χακάρισμα» στα λειτουργικά συστήματα της τράπεζας Πειραιώς.
Η Τράπεζα Πειραιώς εξέδωσε ανακοίνωση στις 12 Φεβρουαρίου του 2010. Σύμφωνα με αυτήν, τα συστήματα της ουδέποτε παραβιάστηκαν από χάκερς, ενώ οι εικόνες που είχαν κυκλοφορήσει στο διαδίκτυο από τα συστήματά της ήταν παλιές και είχαν πάψει να χρησιμοποιούνται χρόνια πριν. Χαρακτήρισε κακόβουλες τις αναρτήσεις αναφέροντας μεταξύ άλλων οτι έχει ISO 27001.
Μία εβδομάδα μετά η ομάδα χάκερ διέρρευσε σε ιστοσελίδες και blog αρχεία με τα προσωπικά δεδομένα χιλιάδων πελατών της τράπεζας. Στοιχεία όπως το IBAN, αριθμούς ταυτότητας, ημερομηνίες γέννησης, διευθύνσεις, ∆ΟΥ που ανήκει ο καθένας κ.λπ., ελεύθερα για κατέβασμα!
Η δίκη
Οι εργαζόμενοι του τηλεοπτικού σταθμού ALTER όταν διαπίστωσαν ότι όλα τους τα προσωπικά στοιχεία και δεδομένα «βγήκαν στη φόρα» κινήθηκαν δικαστικά κατά της «Πειραιώς». Μέσω της συγκεκριμένης τράπεζας καταβάλλονταν από την ιδιοκτησία του ALTER οι μισθοί στους εργαζόμενους του τηλεοπτικού καναλιού. «Πάθαμε σοκ», μας λέει ο ∆ημήτρης Καμπάς, που εργαζόταν τότε στον τηλεοπτικό σταθμό. Η επίθεση των χάκερς πραγματοποιήθηκε, όπως προκύπτει από επίσημα δικαστικά έγγραφα, από τις 2 Οκτωβρίου του 2009 μέχρι και τις 28 Νοεμβρίου του ίδιου έτους.
50 καρτοκινητά!
Όπως αποδείχθηκε, μία άγνωστη, εκμεταλλευόμενη τη διαρροή στοιχείων, πήρε 50 τηλεφωνικές συνδέσεις καρτοκινητών, οι οποίες εκδόθηκαν με στοιχεία μιας ανυποψίαστης εργαζόμενης του καναλιού.
Η Μόνικα Χαραλάμπους, που εργαζόταν ως παραγωγός εκπομπών στο ALTER μίλησε στην «ΜΠΑΜ στο Ρεπορτάζ» για την απάτη με τα καρτοκινητά. Όπως μας είπε, στις αρχές ∆εκεμβρίου του 2009, μερικές ημέρες δηλαδή μετά την υποκλοπή, επισκέφθηκε κατάστημα με είδη κινητής τηλεφωνίας. Όταν έδωσε τα στοιχεία της ο υπάλληλος την πληροφόρησε ότι στο όνομά της έχουν εκδοθεί πολλοί αριθμοί καρτοκινητών. «Έπαθα ένα σοκ», περιγράφει η Μόνικα Χαραλάμπους, η οποία κατήγγειλε το γεγονός στην εταιρεία κινητής τηλεφωνίας και στην αστυνομία. Όπως έμαθε, μια γυναίκα με χαρακτηριστικά που έμοιαζαν με τη φωτογραφία της ταυτότητάς της προμηθεύτηκε τους αριθμούς καρτοκινητών από υποκατάστημα κινητής τηλεφωνίας στον Ασπρόπυργο.
«Τρομοκράτες;»
Το σοκ της ήταν ακόμα μεγαλύτερο όταν πληροφορήθηκε ότι η Αστυνομία εξέταζε το ενδεχόμενο οι αριθμοί των κινητών να χρησιμοποιήθηκαν σε κάποια τρομοκρατική ενέργεια. «Μου είπαν ότι θα με ειδοποιήσουν, αν χρειαστεί, αλλά αυτό δεν έγινε ποτέ», αναφέρει.
H δικαστική υπόθεση προχώρησε με πολύ αργούς ρυθμούς. Στην αγωγή τους οι εργαζόμενοι του τηλεοπτικού σταθμού αξίωσαν μεταξύ άλλων αποζημίωση για ηθική βλάβη. Το δικαστήριο το 2013 αποφάσισε να προχωρήσει η υπόθεση σε κανονική δίκη. Όρισε, μάλιστα, ανεξάρτητο πραγματογνώμονα τον κ. ∆ημήτρη Αλεβίζο, αναλυτή πληροφορικών συστημάτων και ειδικό δικτύων για να διερευνήσει την υπόθεση. Ο ίδιος ορκίστηκε στις αρχές του 2014 και τρεις μήνες μετά παραιτήθηκε λόγω έκτακτου προσωπικού του κωλύματος. Τον αντικατέστησε ο κ.Κωνσταντίνος Αμπατζής, μηχανικός Η/Υ με εξειδίκευση στη διερεύνηση ηλεκτρονικού εγκλήματος, ο οποίος ορκίστηκε με τη σειρά του στις αρχές του 2015. Στο πόρισμα που εξέδωσε αναφέρει ότι η τράπεζα δεν του έδωσε κανένα στοιχείο που να βοηθήσει στην έρευνα. Κατέληξε, πάντως, στο συμπέρασμα ότι η διαρροή των προσωπικών δεδομένων οφείλεται σε ευθύνη της τράπεζας.
Κωδικός πελάτη
Όπως αποδείχθηκε, μεταξύ των στοιχείων που διέρρευσαν ήταν και ο κωδικός πελάτη για κάθε έναν εργαζόμενο, το αποκαλούμενο CRS. O κωδικός αυτός, «είναι ένα μοναδικό αναγνωριστικό που επιτρέπει την αντιστοιχία με κάθε πελάτη του συστήματος της Τράπεζας, δημιουργείται από τα οικεία τμήματα της Τράπεζας και χρησιμοποιείται αποκλειστικά σε ενδοτραπεζικούς σκοπούς». Το ότι η υποκλοπή έγινε μέσω χακαρίσματος της Πειραιώς, σύμφωνα με το πόρισμα, αποδεικνύεται ακόμα από το ότι στα αρχεία που διαμοιράστηκαν ελεύθερα στο διαδίκτυο ήταν ουσιώδεις πληροφορίες ασφαλείας: Λίστα με τα «πλούσια» υποκαταστήματα της τράπεζας. Αναλυτική αναφορά στα μοντέλα των ΑΤΜ: πόσες κασέτες των 50 και των 20 ευρώ διαθέτουν, ποιο είναι το λειτουργικό και η TCP/IP address τους. Μεταξύ των κρίσιμων στοιχείων που διέρρευσαν και διαθέτει αποκλειστικά η τράπεζα για εσωτερική χρήση ήταν αν στα μηχανήματα αυτόματων συναλλαγών είχε τοποθετηθεί ειδική υποδοχή anti – skimming για αποφυγή αντιγραφής καρτών!
Έρευνα
Ακολούθησε έρευνα της ∆ίωξης Ηλεκτρονικού Εγκλήματος, στο πλαίσιο άλλης δικογραφίας που είχε σχηματιστεί έπειτα από μήνυση της Τράπεζας Πειραιώς. Χωρίς αποτέλεσμα.
Οι εγκέφαλοι της σοβαρής αυτής υποκλοπής δεν κατάφεραν να βρεθούν. Σύμφωνα με όσα αναφέρονται στα επίσημα δικαστικά έγγραφα, οι επιθέσεις των χάκερς προήλθαν από τέσσερις χώρες της Ευρώπης. Την Ολλανδία, τη Γερμανία, τη Γαλλία αλλά και το… Εθνικό Μετσόβιο Πολυτεχνείο! Το Πανεπιστημιακό ίδρυμα με έγγραφό του ενημέρωσε την ΕΛ.ΑΣ. ότι οι ηλεκτρονικές διευθύνσεις που χρησιμοποιήθηκαν προέρχονταν από τη Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Ηλεκτρονικών Υπολογιστών. Αυτό πρακτικά σήμαινε ότι ο εντοπισμός των δραστών ήταν αδύνατος, καθώς το συγκεκριμένο χώρο χρησιμοποιούσαν πολλά άτομα καθημερινά και επομένως ήταν αδύνατο να εντοπιστούν οι δράστες της επίθεσης.
∆ίχως αποτέλεσμα ήταν, όμως, και οι απαντήσεις που έστειλαν οι δικαστικές αρχές της Ολλανδίας, της Γαλλίας και της Γερμανίας, καθώς οι χάκερς είτε είχαν χρησιμοποιήσει ηλεκτρονικές διευθύνσεις τρίτων προσώπων εν αγνοία τους είτε από υπολογιστές σε δημόσιους χώρους, που μπορεί να είχε πρόσβαση ο καθένας.
Παραπομπή
Για την υπόθεση αυτή τελικά παραπέμφθηκαν σε δίκη τρία στελέχη της Τράπεζας Πειραιώς με κατηγορίες σε βαθμό κακουργήματος. Ωστόσο το ∆ικαστήριο αθώωσε και τους τρεις σε ό,τι αφορά το ποινικό τους σκέλος, καθώς έκρινε ότι «η παράλειψη λήψης μέτρων για τη διαρροή προσωπικών δεδομένων» δεν εμπεριέχει δόλο. Αντίθετα, οι δικαστές έκριναν ότι η αμελής συμπεριφορά των κατηγορούμενων αποτελεί «διοικητική παράβαση που δύναται να γεννήσει ενδεχομένως αξιώσεις χρηματικής ικανοποίησης».
Εκδίκαση
Η εκδίκαση της αγωγής κατά της τράπεζας στο Πολυμελές Πρωτοδικείο Αθηνών ολοκληρώθηκε το 2018. Η απόφαση, όμως, εκδόθηκε το καλοκαίρι του 2020!
Ειδικότερα, το ∆ικαστήριο αναγνώρισε «υπαιτιότητα (αμέλεια) της Τράπεζας σε ό,τι αφορά τη διαρροή των προσωπικών δεδομένων, «συνιστάμενη στο ότι δεν προέβλεψε την παραβίαση των προσωπικών δεδομένων των εργαζομένων του ΑΛΤΕΡ», καθώς επίσης και ότι «παρέλειψε να λάβει τα απαιτούμενα για την προστασία τους μέτρα ασφαλείας» και να «επιβλέψει την πιστή τήρηση και εφαρμογή τους προς αποτροπή της παραβίασης αυτής». Επίσης, οι δικαστές αναγνώρισαν «παραβίαση των προσωπικών δεδομένων και της προσωπικότητας» των εργαζομένων, «προσβολή της προσωπικότητάς τους», «ηθική βλάβη» κ.λπ. Στην απόφαση γίνεται επίσης ξεχωριστή αναφορά στην περίπτωση της Μόνικας Χαραλάμπους, που, όπως προαναφέραμε, κάποιοι άνοιξαν 50 τηλεφωνικές συνδέσεις με τα στοιχεία της, δίχως η ίδια να το γνωρίζει. Όπως ανέφερε το ∆ικαστήριο, υπήρχε «κίνδυνος να χρησιμοποιηθούν σε εγκληματικές ενέργειες».
Σύμφωνα με τη δικαστική απόφαση, η τράπεζα πρέπει να καταβάλλει αποζημίωση 3.000 ευρώ σε κάθε εργαζόμενο από αυτούς που είχαν προσφύγει στη ∆ικαιοσύνη, ποσό που σχεδόν διπλασιάζεται με τους τόκους, ενώ 6.000 ευρώ χωρίς τους τόκους επιδικάστηκαν στη Μόνικα Χαραλάμπους.
Ωστόσο, η Τράπεζα κατέθεσε αίτηση προσωρινής διαταγής αναστολής εκτέλεσης κατά της απόφασης του Μονομελούς Πρωτοδικείου την οποία κέρδισε. Η έκδοση οριστικής απόφασης για την αίτηση αναστολής που επρόκειτο να εκδικαστεί στις 11 ∆εκεμβρίου 2020 αναβλήθηκε λόγω των μέτρων για τον κορωνοϊό. Η τράπεζα έχει καταθέσει και έφεση κατά της πρωτόδικης απόφασης.
Ο κ. Χάρης Οικονομόπουλος, πληρεξούσιος δικηγόρος 32 εκ των 60 πρώην εργαζομένων του Alter είπε στην «ΜΠΑΜ»: «Η απόφαση 2575/2020 του Πολυμελούς Πρωτοδικείου Αθηνών δεν δικαιώνει μόνο όσους πρώην εργαζόμενους του Alter, παρά τις πιέσεις που υπέστησαν, διεκδίκησαν το δίκιο τους απέναντι σε μία νομικά και δικαστικά πανίσχυρη τράπεζα. Αποτελεί φάρο για κάθε πολίτη που διστάζει να διεκδικήσει το δίκιο του απέναντι στον όποιο ισχυρό.
Η απόφαση
Η απόφαση αυτή, δέκα και πλέον χρόνια μετά την άσκηση των αγωγών που συνεκδικάστηκαν, αναγνωρίζει την ηθική βλάβη που υπέστησαν τουλάχιστον 60 άνθρωποι από τη διαρροή ευαίσθητων προσωπικών δεδομένων τους από την Τράπεζα Πειραιώς και συνιστά κόλαφο για οποιαδήποτε τράπεζα ή οργανισμό θα μπορούσε να αφορά. Είναι κρίμα που η Πειραιώς, παρότι φάνηκε, σε ανώτατο επίπεδο, να εξετάζει την άμεση ικανοποίηση των εντολέων μας και το κλείσιμο της υπόθεσης μόλις εκδόθηκε η σχετική απόφαση, εξακολουθεί, όσους επιζούν, να τους ταλαιπωρεί.
Αν και η ∆ικαιοσύνη στον τόπο μας απέχει πολύ από την εμπιστοσύνη που, θεσμικά τουλάχιστον, οφείλεται να εκφράζεται, η αλήθεια είναι ότι η εμπιστοσύνη αυτή δεν είναι δεδομένη. Κρίνεται καθημερινά από κάθε ξεχωριστή απόφαση κάθε συγκεκριμένου δικαστή.
Υποκλοπή
Όπως ανέφερε και η Πρόεδρος της ∆ημοκρατίας στον πρόσφατο χαιρετισμό της για τα 20 χρόνια την Εθνικής Επιτροπής για τα ∆ικαιώματα του Ανθρώπου, «…από το επίπεδο προστασίας των δικαιωμάτων μας εξαρτάται η ποιότητα και η δύναμη της δημοκρατίας μας». Αν και πρόσφατη απόφαση του Γ’ Τμήματος του ΣτΕ, που θεωρήθηκε τον Νοέμβριο του 2020 από τη συγκεκριμένη, ως δικαστή, θυμίζει «δάσκαλο που δίδασκε και λόγο δεν εκράτει», η 2575/2020 του Πρωτοδικείου Αθηνών δείχνει ότι, ενίοτε τουλάχιστον, «υπάρχουν δικαστές στο Βερολίνο». Όπως υπάρχουν άλλωστε και στο Στρασβούργο», καταλήγει η δήλωση του κ. Οικονομόπουλου.
Ο ίδιος μας είπε ότι ετοιμάζει μια νέα αγωγή για υποκλοπή προσωπικών δεδομένων από πελάτες μιας εταιρείας – κολοσσού της ελληνικής αγοράς!
Όπως δημοσιεύθηκε στην εφημερίδα «ΜΠΑΜ» που κυκλοφορεί