#KartaGate: «Ανακάλυψε» επίθεση από χάκερς η Ομόνοια

Η Ομόνοια απέστειλε ηλεκτρονικό μήνυμα σε φιλάθλους της κάνοντας αναφορά σε επίθεση από χάκερς αντί να δώσει εξηγήσεις για το διάτρητο λογισμικό της Stadium360.

Του Ξένιου Μεσαρίτη

Σε επίθεση από hackers καταλογίζει η Ομόνοια "την διαρροή και τη μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα των φιλάθλων της Εταιρείας ΟΜΟΝΟΙΑΣ Ποδόσφαιρο Λτδ". 

Μετά από την πάροδο ενός σχεδόν μήνα από το ρεπορτάζ του Economy Today για το #KartaGate και ενώ αναμένεται η Τελική Απόφαση της Επιτρόπου Προστασίας Προσωπικών Δεδομένων για την διαρροή χιλιάδων φιλάθλων του ΑΠΟΕΛ και της Ομόνοιας έχει σταλεί σε "μερικούς φιλάθλους της Εταιρείας ΟΜΟΝΟΙΑΣ Ποδόσφαιρο Λτδ" ενημέρωση "για ένα περιστατικό που επηρέασε τα προσωπικά τους δεδομένα".

Το Economy Today εξασφάλισε το ηλεκτρονικό μήνυμα που έχει αποστείλει η Ομόνοια, το οποίο παρατίθεται στο τέλος του δημοσιεύματος, όπου αναφέρεται ότι "Κατά τις 27/07/2021 λόγω επίθεσης από hackers , υπήρξε διαρροή και/ή μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα μερικών φιλάθλων της Εταιρείας ΟΜΟΝΟΙΑΣ Ποδόσφαιρο Λτδ (εφεξής η «ΟΜΟΝΟΙΑ»), που προέβησαν σε αγορά εισιτηρίου για τον ποδοσφαιρικό αγώνα μεταξύ της ΟΜΟΝΟΙΑΣ ν. Dynamo Zagreb, μέσω της πλατφόρμας stadium.360 από κακόβουλη ενέργεια και/ή πράξη προσώπου".

Το ηλεκτρονικό μήνυμα συνεχίζει αναφέροντας ότι "τα δεδομένα σας στα οποία υπήρξε μη εξουσιοδοτημένη πρόσβαση είναι τα ακόλουθα:

1. ΟΝΟΜΑΤΕΠΩΝΥΜΟ
2. Α.Δ.Τ.
3. ΑΡΙΘΜΟ ΜΗΤΡΩΟΥ ΚΟΑ (κάρτα φιλάθλου)."

Επιρρίπτουν ευθύνες σε χάκερς για το διάτρητο λογισμικό της Stadium360 

Στο ηλεκτρονικό μήνυμα δεν γίνεται καμία αναφορά στο γεγονός ότι πρόκειται για προγραμματιστικό λάθος με το οποίο χωρίς ιδιαίτερες γνώσεις πληροφορικής ο καθένας μπορούσε να λάβει τα προσωπικά δεδομένα των φιλάθλων, επιρρίπτοντας ευθύνες σε επιθέσεις hackers.

Επίσης δεν αναφέρεται κάπου το γεγονός ότι καταχωρώντας τα δύο τελευταία στοιχεία στην ιστοσελίδα του ΚΟΑ, το μη εξουσιοδοτημένο πρόσωπο, μπορούσε να δει και να κατεβάσει τις Κάρτες Φιλάθλου με την φωτογραφία του κάθε επηρεαζόμενου ατόμου.

Σημειώνεται επίσης στο ηλεκτρονικό μήνυμα ότι "η Ομόνοια έχει εφαρμόσει πρόσθετα μέτρα ασφαλείας που έχουν σχεδιαστεί για να αποτρέψουν την επανάληψημιας τέτοιας επίθεσης και να προστατεύσουν το απόρρητο των προσωπικών δεδομένων όλων των προσώπων που χρησιμοποιούν τα ηλεκτρονικά συστήματα της ομάδας".

Εντελώς άστοχο ο χαρακτηρισμός "επίθεση από χάκερς"

Εντελώς άστοχο το να χαρακτηριστεί η διαρροή ως επίθεση χάκερς αναφέρει ο Ειδικός για θέματα ασφαλείας διαδικτύου Ντίνος Παστός.

Ο κ. Παστός κληθείς από το Economy Today να σχολιάσει την επιστολή της Ομόνοιας ανέφερε ότι πρόκειται για προγραμματιστικό λάθος της πλατφόρμας  το οποίο βρέθηκε και αναφέρθηκε καλοπροαίρετα από την δημοσιογραφική ομάδα του Economy Today ούτως ώστε να προστατευτούν τα προσωπικά δεδομένα των φιλάθλων.

Επίσης όπως είχε τονίσει στο Economy Today ο Αναπληρωτής Καθηγητής Δημήτρης Ζεϊναλιπούρ του Τμήματος Πληροφορικής του Πανεπιστημίου Κύπρου πρόκειται για ξεκάθαρο τεχνικό λάθος το οποίο μπορεί να έχει οδηγήσει σε διαρροή προσωπικών δεδομένων και ορθά έχουν κλείσει οι επηρεαζόμενες ιστοσελίδες ώστε να επιλυθεί το ζήτημα ενώ θα πρέπει να ενημερωθούν όλα τα άτομα τα οποία βρίσκονταν πάνω στην πλατφόρμα

Η Ομόνοια καλούσε για αγορά εισιτηρίων από τις 9 Ιουλίου- Ερωτηματικά για περαιτέρω διαρροές

Προκύπτουν ερωτήματα για το αν έχουν διαρρεύσει τα προσωπικά δεδομένα φιλάθλων μόνο του παιχνιδιού Ομόνοιας - Δυναμό Ζάγκρεμπ αφού η πλατφόρμα της Stadium360 προμήθευε εισιτήρια για τους αγώνες της Ομόνοιας από τις 9 Ιουλίου.

H Ομόνοια καλούσε τους φιλάθλους να προμηθευτούν τα εισιτήρια τους διαδικτυακά μέσω της πλατφόρμας Stadium360 για τον ποδοσφαιρικό αγώνα της Ομόνοιας για το Σούπερ Καπ που διεξήχθη στις 13 Ιουλίου.

Συγκεκριμένα στις 8 Ιουλίου ενημέρωσε με ανάρτηση στο Twitter ότι "Το Online Ticketing θα παραμείνει εκτός λειτουργίας λόγω εργασιών αναβάθμισης. Θα ενημερώσουμε μόλις τεθεί ξανά σε λειτουργία" ενώ την επόμενη μέρα, στις 9 Ιουλίου, ανέρτησε ότι "Το Online Ticketing έχει τεθεί και πάλι σε λειτουργία. Μπορείτε να προμηθεύτειτε μέσω του διαδικτύου τα εισιτήρια σας για τον αγώνα του Σούπερ Καπ απέναντι στην Ανόρθωση από εδώ: https://bit.ly/3r0xIYw".

Οφείλουν να πουν την αλήθεια στους επηρεαζόμενους φιλάθλους και όχι να αποπροσανατολίζουν

Ενώ αδειάζει η κλεψύδρα και τα ερωτήματα που πρέπει να απαντηθούν παραμένουν, είναι ξεκάθαρο ότι πρέπει να δοθεί η πλήρης εικόνα στους επηρεαζόμενους φιλάθλους όπως ρητά αναφέρεται στον Γενικό Κανονισμό Προστασίας Προσωπικών Δεδομένων του Ευρωπαϊκού Κοινοβουλίου και Συμβουλίου, χωρίς γίνεται προσπάθεια αποπροσανατολισμού της κοινής γνώμης περί επίθεσης χάκερ.

Σύμφωνα με την παράγραφο 2 του άρθρου 34 του Κανονισμού που αφορά την «Ανακοίνωση παραβίασης προσωπικών δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων», η ανακοίνωση πρέπει να περιγράφει με σαφήνεια στα υποκείμενα των δεδομένων την παραβίαση των δεδομένων προσωπικού χαρακτήρα και να περιέχονται τουλάχιστον οι πληροφορίες και τα μέτρα που αναφέρονται στο άρθρο 33 και σημεία β,γ και δ.

Τα σημεία β, γ και δ αναφέρουν ότι η γνωστοποίηση πρέπει κατ’ ελάχιστο να:

β) ανακοινώνει το όνομα και τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας από το οποίο μπορούν να ληφθούν περισσότερες πληροφορίες,

γ) περιγράφει τις ενδεχόμενες συνέπειες της παραβίασης των δεδομένων προσωπικού χαρακτήρα,

δ) περιγράφει τα ληφθέντα ή τα προτεινόμενα προς λήψη μέτρα από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και, όπου ενδείκνυται, μέτρα για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.

ΔΙΑΒΑΣΤΕ ΠΕΡΙΣΣΟΤΕΡΑ