ΤΟ ΜΕΓΑΛΟ ΧΑΚΑΡΙΣΜΑ ΚΑΙ ΜΙΑ ΕΙΣΠΡΑΚΤΙΚΗ ΣΤΗΝ ΕΛΛΑΔΑ

Καμία αγγελία στο dark web δεν θεωρείται εξωφρενική, γι’ αυτό και η συγκεκριμένη, όταν δημοσιεύτηκε στις αρχές Ιουλίου, πέρασε κάτω από τα ραντάρ. Μια ομάδα χάκερ ισχυριζόταν ότι είχε αποσπάσει και έβγαζε προς πώληση περισσότερα από 16 Terabytes προσωπικών δεδομένων, ύστερα από επίθεση στα πληροφοριακά συστήματα της ιταλικής doValue, μιας από τις μεγαλύτερες εταιρείες διαχείρισης κόκκινων δανείων στην Ευρώπη.

Η doValue Greece, με παρουσία στην Ελλάδα τα τελευταία πέντε χρόνια, χειρίζεται χαρτοφυλάκιο που ξεπερνά τα 35 δισ. ευρώ σε χρέη δανειοληπτών για λογαριασμό των τεσσάρων συστημικών τραπεζών και οκτώ μεγάλων ξένων επενδυτών. Ο αριθμός των ανθρώπων που επηρεάζονται από τη διαρροή δεδομένων στον Όμιλο παραμένει άγνωστος.

Η ΑΓΓΕΛΙΑ ΣΤΟ DARK WEB

Στην αγγελία οι χάκερς περιέγραφαν με λεπτομέρειες τη λεία τους. Έλεγαν πως είχαν αποκτήσει πρόσβαση σε ολόκληρο το εσωτερικό δίκτυο της εταιρείας: από τους διακομιστές βάσεων δεδομένων μέχρι μέχρι εκείνους που αποθηκεύουν αρχεία. Δεν έμειναν εκεί. Υποστήριζαν ότι τα δεδομένα αφορούσαν όχι μόνο τη μητρική doValue αλλά και θυγατρικές της. “Τα δεδομένα ανήκουν στη doValue και σε πολλές από τις θυγατρικές της, συμπεριλαμβανομένων των: Italfondiario, doBank, doNext, doValue Greece, doData, doValue Spain και Altamira. Το συνολικό μέγεθος ξεπερνά τα 16 Terabytes”, έγραφαν, προσθέτοντας πως ήταν υπερβολικά μεγάλο για να δημοσιεύσουν δείγματα.

Πράγματι, μία διαρροή 16 ΤΒ θεωρείται “μεγάλο χακάρισμα” ακόμα και από ανθρώπους που περνούν την ημέρα τους στο dark web και παρακολουθούν καθημερινά αγοραπωλησίες δεδομένων. Ο όγκος των αρχείων αντιστοιχεί σε περίπου 8 δισεκατομμύρια σελίδες κειμένου. Εφόσον τα δεδομένα ήταν πολλά για να προσφερθεί δείγμα τους, όπως συνηθίζεται, η νεοσύστατη ομάδα χάκερ που δεν είχε ιστορικό προηγούμενης δραστηριότητας, ανήρτησε αρχεία-δέντρα (tree-files) με τη δομή των φακέλων –  κάτι σαν ευρετήριο με όλα τα κλεμμένα δεδομένα.

Όπως εξήγησαν ειδικοί στο NEWS 24/7, στον κόσμο του dark web, τέτοια “tree files” θεωρούνται μια μορφή εγγύησης: δεν αποκαλύπτουν το περιεχόμενο, αλλά δείχνουν ότι ο πωλητής έχει πράγματι στην κατοχή του το υλικό που ισχυρίζεται, πείθοντας έτσι τους πιθανούς αγοραστές.

Η ΠΑΡΑΔΟΧΗ ΤΗΣ ΙΤΑΛΙΚΗΣ ΕΤΑΙΡΕΙΑΣ

Πριν την ανάρτηση του ανώνυμου χάκερ στο dark web, είχε προηγηθεί μια λιτή ανακοίνωση της ιταλικής doValue. Στο κείμενο εκείνο, που σήμερα έχει εξαφανιστεί από την ιστοσελίδα της αλλά διασώζεται στο Web Archive, η εταιρεία παραδέχτηκε ότι στις 5 Μαΐου 2025 “άγνωστοι απέκτησαν μη εξουσιοδοτημένη πρόσβαση σε ορισμένα από τα πληροφοριακά μας συστήματα και εξήγαγαν δεδομένα”.

Η εταιρεία ενημέρωσε την ιταλική αρχή προστασίας δεδομένων και τις δικαστικές αρχές, ενώ διαβεβαίωνε ότι έχει λάβει μέτρα για να αποτρέψει νέα περιστατικά. Προειδοποίησε, πάντως, μέσω της ανακοίνωσης που έχει διαγραφεί, ότι τα κλεμμένα στοιχεία μπορεί να χρησιμοποιηθούν για απάτες και κάλεσε τους πολίτες “να είναι εξαιρετικά προσεκτικοί” με ύποπτες επικοινωνίες που “σας ζητούν να πραγματοποιήσετε οικονομικές συναλλαγές ή/και να παράσχετε προσωπικά στοιχεία, καθώς ενδέχεται να είναι αποτέλεσμα απόπειρας απάτης”.

ΟΙ ΕΛΛΗΝΕΣ ΔΑΝΕΙΟΛΗΠΤΕΣ ΚΑΙ Η DO VALUE GREECE

Από την ελληνική θυγατρική δεν υπήρξε μέχρι στιγμής κάποια ανακοίνωση για το ευρύ κοινό. Το NEWS 24/7 γνωρίζει πως σε δείγμα 20 πολιτών που συναλλάσσονται με την εταιρεία για κόκκινα δάνεια και ρυθμίσεις, δεν έχει φτάσει καμία ειδοποίηση. Αν, όμως, οι ισχυρισμοί των χάκερ είναι αληθινοί και όχι μπλόφα, τότε η doValue Greece είχε υποχρέωση να ενημερώσει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μέσα σε 72 ώρες από τη στιγμή της παραβίασης, όπως εξήγησε ο Λευτέρης Χελιουδάκης, δικηγόρος με εξειδίκευση στις νέες τεχνολογίες και Εκτελεστικός Διευθυντής της Homo Digitalis.

Σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR), όταν συμβεί μία παραβίαση δεδομένων, η εταιρεία που είναι υπεύθυνη επεξεργασίας, έχει υποχρέωση να λάβει υπόψη πρώτα απ όλα το ρίσκο. “Το ρίσκο δεν είναι μία αφηρημένη έννοια, ορίζεται με συγκεκριμένο τρόπο και αν υπάρχει θα πρέπει μέσα σε 72 ώρες από τότε που η εταιρεία γνωρίζει για την παραβίαση των δεδομένων να ενημερώσει την εποπτική αρχή στην οποία λογοδοτεί. Η ελληνική doValue λογοδοτεί στην Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ), εφόσον δεν αναφέρει κάτι διαφορετικό και στην πολιτική προστασίας της” σημείωσε ο δικηγόρος.

Το ρίσκο συνδέεται και με τη φύση των δεδομένων που ενδέχεται να υπεκλάπησαν. Οι Έλληνες δανειολήπτες που συμβάλλονται με τη doValue Greece για τη ρύθμιση και αποπληρωμή των χρεών τους, καταχωρούν υποχρεωτικά: αντίγραφο της ταυτότητας, ΑΦΜ, email, τηλέφωνο επικοινωνίας, φορολογική δήλωση (Ε1) και πλήρη ενημέρωση για οικονομικά στοιχεία (υποθήκες, ενέχειρα κλπ). Σε πολλές περιπτώσεις παρέχονται στη doValue και ευαίσθητα προσωπικά δεδομένα υγείας, όπως βεβαιώσεις ΚΕΠΑ για ποσοστό αναπηρίας ή αποδείξεις ακριβών φαρμάκων (πχ αντικαρκινικών), προκειμένου να ληφθεί υπόψη η οικονομική δυσπραγία που προκύπτει από θέματα υγείας.

ΠΟΙΟΣ ΑΓΟΡΑΖΕΙ ΚΑΙ ΠΟΣΟ ΚΟΣΤΙΖΟΥΝ ΤΑ ΚΛΕΜΜΕΝΑ ΔΕΔΟΜΕΝΑ

H αγοραπωλησία δεδομένων στο σκοτεινό διαδίκτυο αποφέρει τεράστια κέρδη. Ο ειδικός σε θέματα κυβερνοασφάλειας και CEO της Audax Cybersecurity, Θεοφάνης Κασίμης, έκανε λόγο για μία ολόκληρη “παράλληλη οικονομία που λειτουργεί κυρίως στο dark web, όπου τα δεδομένα αποτελούν εμπόρευμα όπως κάθε άλλο”.

Ο ίδιος εξηγεί πως η αποτίμηση εξαρτάται από το είδος και την ποιότητα της πληροφορίας:

• Στοιχεία πιστωτικών καρτών πωλούνται συνήθως από λίγα cents έως μερικά δολάρια το κομμάτι, ανάλογα με το αν συνοδεύονται από CVV και διεύθυνση κατόχου.
• Πλήρη προσωπικά προφίλ (fullz), δηλαδή: ονοματεπώνυμο, διεύθυνση, ΑΦΜ, ημερομηνία γέννησης, email και τηλέφωνο, μπορεί να αποτιμώνται από 10 έως 100 δολάρια το άτομο, γιατί δίνουν τη δυνατότητα για κλοπή ταυτότητας.
• Εταιρικά credentials (VPN, RDP, email accounts): η αξία τους κυμαίνεται από μερικές δεκάδες μέχρι και χιλιάδες δολάρια, ειδικά αν αφορούν μεγάλες επιχειρήσεις ή κρίσιμες υποδομές.
• Ιατρικά δεδομένα: θεωρούνται από τα πιο πολύτιμα, γιατί είναι δύσκολο να αλλάξουν και μπορούν να χρησιμοποιηθούν για εκβιασμούς. Η αξία τους μπορεί να είναι πολλαπλάσια σε σχέση με οικονομικά στοιχεία.

Αξίζει να σημειωθεί ότι οι τιμές διαφέρουν ανάλογα με τη ζήτηση, τον όγκο και τη φρεσκάδα των δεδομένων. Ένα “πακέτο δεδομένων” που μόλις έχει διαρρεύσει αξίζει πολύ περισσότερο από ένα αρχείο που κυκλοφορεί χρόνια. Επομένως, κάθε διαρροή δεδομένων παράγει άμεσα εμπορεύσιμο υλικό, και αυτός είναι ένας από τους βασικούς λόγους που οι επιθέσεις αυτού του τύπου αυξάνονται συνεχώς: γιατί υπάρχει πραγματική αγορά και πραγματικό οικονομικό κίνητρο.

Η αξιοποίηση αυτών των δεδομένων από κακόβουλους χρήστες είναι δυστυχώς πολύ πιο εύκολη απ’ όσο φανταζόμαστε. “Ακόμα και βασικές πληροφορίες, όπως ονοματεπώνυμο και email, αρκούν για να δημιουργηθούν εξαιρετικά πειστικές καμπάνιες phishing” τονίζει ο κ. Κασίμης και προσθέτει πως κάποιος επιτήδειος μπορεί να στείλει ένα μήνυμα που μοιάζει να προέρχεται από την ίδια την εταιρεία, ζητώντας επιβεβαίωση στοιχείων ή αλλαγή κωδικού, και πολλοί πελάτες θα πέσουν στην παγίδα, γιατί θεωρούν ότι υπάρχει σχέση εμπιστοσύνης.

Όταν μάλιστα οι κυβερνοεγκληματίες έχουν στη διάθεσή τους πιο πλούσιο υλικό, όπως διευθύνσεις, ΑΦΜ και οικονομικά στοιχεία, τότε οι επιθέσεις κοινωνικής μηχανικής γίνονται πολύ πιο στοχευμένες και άρα πιο δύσκολο να αναγνωριστούν. Με λίγα λόγια, τα δεδομένα που χάνονται από μια παραβίαση μπορούν να γίνουν το “καύσιμο” για την επόμενη επίθεση. “Γι’ αυτό και συχνά λέμε ότι μια διαρροή δεδομένων δεν τελειώνει τη στιγμή που αποκαλύπτεται στην πραγματικότητα” λέει ο ειδικός κυβερνοασφάλειας. “Εκείνη είναι η αρχή μιας σειράς νέων κινδύνων για τους πελάτες και τους συνεργάτες μιας εταιρείας”.

ΤΑ ΕΠΟΜΕΝΑ ΒΗΜΑΤΑ ΓΙΑ ΜΙΑ ΕΤΑΙΡΕΙΑ ΚΑΙ ΤΟΥΣ ΠΕΛΑΤΕΣ ΤΗΣ

Όταν μια εταιρεία διαπιστώσει ότι έχει πέσει θύμα χάκερ, το πρώτο και πιο σημαντικό βήμα είναι, σύμφωνα με τον Θεοφάνη Κασίμη, να μην προσπαθήσει να κρύψει το περιστατικό. “Χρειάζεται άμεση ενεργοποίηση του σχεδίου αντιμετώπισης περιστατικών (incident response): απομόνωση των συστημάτων που έχουν παραβιαστεί, ειδοποίηση των αρμόδιων αρχών και συνεργασία με ειδικούς για να εκτιμηθεί η έκταση της ζημιάς. Εξίσου σημαντικό είναι να ενημερωθούν οι πελάτες και οι συνεργάτες με διαφάνεια, ώστε να λάβουν κι εκείνοι τα μέτρα τους. Η γρήγορη και υπεύθυνη αντίδραση μπορεί να μειώσει σημαντικά τις συνέπειες”.

Η ανακοίνωση της ιταλικής doValue παραθέτει μία λίστα ιταλικών τραπεζών και funds, σημειώνοντας πως η συγκεκριμένη ανακοίνωση “αποστέλλεται επίσης εξ ονόματος και προς το συμφέρον των ακόλουθων πελατών της doValue για τους οποίους η εταιρεία εκτελεί δραστηριότητες διαχείρισης πιστώσεων και είσπραξης”. Η αναγγελία της διαρροής δεδομένων κλείνει με τη σημείωση πως “η παρούσα ανακοίνωση αφορά αποκλειστικά τις δραστηριότητες και την επεξεργασία που πραγματοποιεί ο όμιλος doValue στην Ιταλία”.

Ο δικηγόρος Λευτέρης Χελιουδάκης που εξειδικεύεται στις νέες τεχνολογίες, εκτίμησε πως αυτή η αναφορά, ενδεχομένως οφείλεται στο γεγονός πως ο Όμιλος εντοπίζει το πρόβλημα μόνο στην Ιταλία. “Μπορεί τα πληροφοριακά συστήματα που δέχτηκαν επίθεση και από τα οποία χάθηκαν δεδομένα να αφορούν μόνο το ιταλικό οικοσύστημα του ομίλου doValue”. Το δεύτερο ενδεχόμενο, εξήγησε ο ίδιος, είναι η doValue να αναγνωρίζει εμμέσως το γεγονός ότι κάθε θυγατρική εταιρεία οφείλει ως αυτοτελή υπεύθυνη επεξεργασίας δεδομένων να προχωρήσει κι εκείνη, εφόσον χρειάζεται, σε αντίστοιχη ενημέρωση των υποκειμένων δεδομένων σε τοπικό επίπεδο.

Πράγματι, η doValue Greece σε υποθέσεις της που έχουν ερευνηθεί από την ΑΠΔΠΧ, αντιμετωπίστηκε ως εταιρεία που είναι αυτοτελώς υπεύθυνη επεξεργασίας δεδομένων. Συγκεκριμένα, το 2022, η doValue Greece έχει κληθεί να λογοδοτήσει ενώπιον της Αρχής Προστασίας Προσωπικών Δεδομένων και της επιβλήθηκε πρόστιμο 10.000 ευρώ, ενώ στις αρχές του 2025 της επιβλήθηκε πρόστιμο 3.000 ευρώ.

ΕΡΩΤΗΜΑΤΑ ΤΟΥ NEWS 24/7 ΣΤΗ DO VALUE GREECE

Παραμένει μέχρι σήμερα άγνωστο αν η επίθεση στις 5 Μαϊου 2025 στα πληροφοριακά συστήματα του Ομίλου doValue κατάφερε να αποσπάσει προσωπικά δεδομένα από τα ελληνικά συστήματα της εταιρείας, όπως ισχυρίζονται οι χάκερ στην αγγελία τους – γεγονός που θα επηρέαζε χιλιάδες Έλληνες δανειολήπτες.

Το NEWS 24/7 ζήτησε από τη doValue Greece να επιβεβαιώσει αν υπήρξε τους τελευταίους μήνες παραβίαση και διαρροή δεδομένων. Σε περίπτωση καταφατικής απάντησης, ζητήθηκε να διευκρινίσει αν είχε ενημερώσει την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και αν είχαν ειδοποιηθεί τα υποκείμενα των δεδομένων που ενδέχεται να επηρεάζονται. Μέχρι τη δημοσίευση του ρεπορτάζ, η εταιρεία δεν απάντησε.