ΚΟΙΝΩΝΙΑ

Απόπειρες εγκατάστασης Predator σε χρήστες κινητής τηλεφωνίας στην Ελλάδα

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα εντόπισε πάνω από 350 μηνύματα SMS που αποσκοπούσαν στην εγκατάσταση λογισμικού παρακολούθησης

 20/07/2023 15:22

Απόπειρες εγκατάστασης Predator σε χρήστες κινητής τηλεφωνίας στην Ελλάδα

Σύμφωνα με ανακοίνωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπιστώθηκε ότι πραγματοποιήθηκαν απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού («Predator») προς πολυάριθμους χρήστες κινητής τηλεφωνίας στην Ελλάδα.

Παράλληλα, η Αρχή εντόπισε πάνω από 350 μηνύματα SMS που αποσκοπούσαν στην εγκατάσταση λογισμικού παρακολούθησης. Για όλα τα ευρήματα η Αρχή έχει ενημερώσει τις αρμόδιες εισαγγελικές αρχές.

Όσον αφορά τα SMS που φαινόταν να προέρχονται από την ηλεκτρονική εφαρμογή εμβολιασμού η Αρχή σημειώνει ότι «διενήργησε επιτόπιο έλεγχο στην εν λόγω εφαρμογή, από τον οποίο διαπιστώθηκε ότι τα παραπλανητικά αυτά μηνύματα δεν εστάλησαν εν τέλει από αυτή την εφαρμογή» και «έκρινε ότι δεν προκύπτει περιστατικό παραβίασης (διαρροής) δεδομένων από τους επίσημους φορείς της διαδικασίας εμβολιασμού».

Αναλυτικότερα, η Αρχή αναφέρει στην ανακοίνωσή της τα εξής:

«Η Αρχή κίνησε από τα τέλη Ιουλίου 2022 αυτεπάγγελτη έρευνα σε σχέση με δραστηριότητες εγκατάστασης και χρήσης κατασκοπευτικού λογισμικού στην Ελλάδα, ιδίως σε σχέση με το λογισμικό παρακολούθησης που αναφέρεται ως "Predator". Η Αρχή συσχέτισε κατά την ερευνά της και τις καταγγελίες-αναφορές που υποβλήθηκαν από πέντε φυσικά πρόσωπα.

Η αρμοδιότητα της Αρχής σε τέτοιες περιπτώσεις πηγάζει τόσο από τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ), όσο και από την ειδική νομοθεσία (e-privacy) για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές υπηρεσίες.

Συγκεκριμένα, οι δραστηριότητες εγκατάστασης και χρήσης λογισμικού παρακολούθησης σε τερματικές συσκευές κινητής τηλεφωνίας χρηστών, εν αγνοία τους, συνιστούν παραβίαση της οικείας νομοθεσίας (άρθρο 4 παρ. 5 του ν. 3471/2006, όπως έχει τροποποιηθεί και ισχύει ‒ ο εν λόγω νόμος μεταφέρει στο εθνικό δίκαιο την οδηγία 2002/58/ΕΚ μετά και την τροποποίησή της από την οδηγία 2009/136/ΕΚ), ενώ και η τυχόν συνακόλουθη συλλογή και επεξεργασία των προσωπικών δεδομένων, τα οποία συλλέγονται από τέτοιο λογισμικό, εμπίπτει εντός του πεδίου εφαρμογής του ΓΚΠΔ, στον βαθμό που τα συλλεγόμενα δεδομένα σχετίζονται με τις ενέργειες ενός συνδρομητή ή χρήστη φυσικού προσώπου (υποκειμένου των δεδομένων).

Η Αρχή συνέστησε ομάδα έρευνας για την εν λόγω υπόθεση και έχει προβεί σε συγκεκριμένες ενέργειες, με βάση τα ευρήματα που προέκυψαν κατά την εξέλιξη της έρευνάς της, στις οποίες συγκαταλέγονται η έκδοση προσωρινών διαταγών για την αναστολή διαγραφής προσωπικών δεδομένων, η διενέργεια ερευνών και επιτόπιων ελέγχων σε ιδιωτικές εταιρείες και δημόσιους φορείς, η συλλογή στοιχείων και πληροφοριών από εταιρείες και φορείς εντός και εκτός Ελλάδας (όπως ενδεικτικά από την Εθνική Αρχή Διαφάνειας (ΕΑΔ), την Ανεξάρτητη Αρχή Δημοσίων Εσόδων (ΑΑΔΕ), το Citizen Lab, την Google, τη Meta, εταιρείες παροχής υπηρεσιών αποστολής μηνυμάτων SMS μέσω διαδικτύου, εταιρείες παροχής υπηρεσιών φιλοξενίας ιστοσελίδων), η έκδοση απόφασης επιβολής προστίμου σε μία από τις ελεγχόμενες εταιρείες, λόγω μη συνεργασίας με την Αρχή, και η ενημέρωση των εισαγγελικών αρχών επί των ευρημάτων στον αντίστοιχο χρόνο εντοπισμού τους.

Με βάση τα έως τώρα στοιχεία, έχει διαπιστωθεί ότι πραγματοποιήθηκαν απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού προς πολυάριθμους χρήστες κινητής τηλεφωνίας στην Ελλάδα. Μια τέτοια απόπειρα πραγματοποιείται μέσω αποστολής μηνύματος SMS προς τον αριθμό κινητού τηλεφώνου ενός αποδέκτη-στόχου. 

Τα μηνύματα SMS αυτού του είδους περιέχουν σύντομο κείμενο και σύνδεσμο σε ιστοσελίδα, ο οποίος είναι παραπλανητικός, καθώς έχει μεγάλη ομοιότητα με μια πραγματική ιστοσελίδα. Στην περίπτωση κατά την οποία ο αποδέκτης του μηνύματος SMS ενεργοποιήσει τον σύνδεσμο που περιέχεται σε αυτό, επιλέγοντάς τον, τότε λαμβάνει χώρα εγκατάσταση του κατασκοπευτικού λογισμικού στη συσκευή του. 

Τα μηνύματα SMS έχουν αποσταλεί μέσω υπηρεσιών διαδικτύου (Web to SMS) με χρήση προπληρωμένων καρτών. Επισημαίνεται ειδικά ότι σε αυτά τα μηνύματα SMS διαπιστώθηκε ότι τα στοιχεία του αποστολέα υπήρξαν τροποποιημένα και ότι δεν αντιστοιχούν στον πραγματικό αποστολέα, προκειμένου να παραπλανάται ο παραλήπτης τους για να ενεργοποιεί τον περιεχόμενο σύνδεσμο ιστοσελίδας και με τον τρόπο αυτό να εγκαθίσταται το κατασκοπευτικό λογισμικό.

Κατά τις έρευνές της η Αρχή εντόπισε πάνω από 350 μηνύματα SMS τα οποία σχετίζονται με τις παραπάνω απόπειρες, εκ των οποίων πάνω από 220 περιείχαν παραπλανητικό σύνδεσμο ιστού. Πάνω από 120 μηνύματα πιθανολογείται ότι έχουν σταλεί για λόγους δοκιμής προς αταυτοποίητα κινητά προσωρινής, σύντομης χρήσης ("burner phones"). Η Αρχή έχει ήδη αποστείλει αναλυτική ενημέρωση προς τους συνδρομητές και χρήστες 92 τηλεφωνικών αριθμών οι οποίοι έλαβαν μήνυμα SMS με τα παραπάνω χαρακτηριστικά.

Επισημαίνεται, ειδικά, ότι ολιγάριθμα μηνύματα SMS φάνηκε αρχικά να σχετίζονται με την ηλεκτρονική εφαρμογή εμβολιασμού της ελληνικής Κυβέρνησης. Η ομάδα ελέγχου της Αρχής διενήργησε επιτόπιο έλεγχο στην εν λόγω εφαρμογή, από τον οποίο διαπιστώθηκε ότι τα παραπλανητικά αυτά μηνύματα δεν εστάλησαν εν τέλει από αυτή την εφαρμογή. Εξετάζοντας τα διαθέσιμα στοιχεία, η Αρχή έκρινε ότι δεν προκύπτει περιστατικό παραβίασης (διαρροής) δεδομένων από τους επίσημους φορείς της διαδικασίας εμβολιασμού.

Η Αρχή έχει ενημερώσει και θα συνεχίζει να ενημερώνει τις εισαγγελικές αρχές για τα ευρήματα της έρευνάς της, όσο αυτή είναι σε εξέλιξη. Στην παρούσα φάση, η Αρχή δεν διαθέτει στοιχεία, από τα οποία να είναι δυνατή η ταυτοποίηση συγκεκριμένου υπευθύνου επεξεργασίας (φυσικού ή νομικού προσώπου) για τις δραστηριότητες εγκατάστασης και χρήσης του υπό διερεύνηση κατασκοπευτικού λογισμικού, αλλά επισημαίνει ότι τόσο οι έρευνές της, όσο και η εξέταση της υπόθεσης, βρίσκονται ακόμα σε εξέλιξη.

Επιπλέον, η Αρχή, στο πλαίσιο των αρμοδιοτήτων της που απορρέουν από τον Γενικό Κανονισμό (ΕΕ) 2016/679 για την Προστασία Δεδομένων έχει κινήσει τις διαδικασίες συνεργασίας με τις εποπτικές αρχές άλλων κρατών μελών για τη διερεύνηση της υπόθεσης και τον έλεγχο των εταιρειών και φορέων που ενδέχεται να εμπλέκονται σε αυτή και βρίσκονται εντός Ε.Ε., αλλά εκτός Ελλάδας».

Σύμφωνα με ανακοίνωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα διαπιστώθηκε ότι πραγματοποιήθηκαν απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού («Predator») προς πολυάριθμους χρήστες κινητής τηλεφωνίας στην Ελλάδα.

Παράλληλα, η Αρχή εντόπισε πάνω από 350 μηνύματα SMS που αποσκοπούσαν στην εγκατάσταση λογισμικού παρακολούθησης. Για όλα τα ευρήματα η Αρχή έχει ενημερώσει τις αρμόδιες εισαγγελικές αρχές.

Όσον αφορά τα SMS που φαινόταν να προέρχονται από την ηλεκτρονική εφαρμογή εμβολιασμού η Αρχή σημειώνει ότι «διενήργησε επιτόπιο έλεγχο στην εν λόγω εφαρμογή, από τον οποίο διαπιστώθηκε ότι τα παραπλανητικά αυτά μηνύματα δεν εστάλησαν εν τέλει από αυτή την εφαρμογή» και «έκρινε ότι δεν προκύπτει περιστατικό παραβίασης (διαρροής) δεδομένων από τους επίσημους φορείς της διαδικασίας εμβολιασμού».

Αναλυτικότερα, η Αρχή αναφέρει στην ανακοίνωσή της τα εξής:

«Η Αρχή κίνησε από τα τέλη Ιουλίου 2022 αυτεπάγγελτη έρευνα σε σχέση με δραστηριότητες εγκατάστασης και χρήσης κατασκοπευτικού λογισμικού στην Ελλάδα, ιδίως σε σχέση με το λογισμικό παρακολούθησης που αναφέρεται ως "Predator". Η Αρχή συσχέτισε κατά την ερευνά της και τις καταγγελίες-αναφορές που υποβλήθηκαν από πέντε φυσικά πρόσωπα.

Η αρμοδιότητα της Αρχής σε τέτοιες περιπτώσεις πηγάζει τόσο από τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ), όσο και από την ειδική νομοθεσία (e-privacy) για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές υπηρεσίες.

Συγκεκριμένα, οι δραστηριότητες εγκατάστασης και χρήσης λογισμικού παρακολούθησης σε τερματικές συσκευές κινητής τηλεφωνίας χρηστών, εν αγνοία τους, συνιστούν παραβίαση της οικείας νομοθεσίας (άρθρο 4 παρ. 5 του ν. 3471/2006, όπως έχει τροποποιηθεί και ισχύει ‒ ο εν λόγω νόμος μεταφέρει στο εθνικό δίκαιο την οδηγία 2002/58/ΕΚ μετά και την τροποποίησή της από την οδηγία 2009/136/ΕΚ), ενώ και η τυχόν συνακόλουθη συλλογή και επεξεργασία των προσωπικών δεδομένων, τα οποία συλλέγονται από τέτοιο λογισμικό, εμπίπτει εντός του πεδίου εφαρμογής του ΓΚΠΔ, στον βαθμό που τα συλλεγόμενα δεδομένα σχετίζονται με τις ενέργειες ενός συνδρομητή ή χρήστη φυσικού προσώπου (υποκειμένου των δεδομένων).

Η Αρχή συνέστησε ομάδα έρευνας για την εν λόγω υπόθεση και έχει προβεί σε συγκεκριμένες ενέργειες, με βάση τα ευρήματα που προέκυψαν κατά την εξέλιξη της έρευνάς της, στις οποίες συγκαταλέγονται η έκδοση προσωρινών διαταγών για την αναστολή διαγραφής προσωπικών δεδομένων, η διενέργεια ερευνών και επιτόπιων ελέγχων σε ιδιωτικές εταιρείες και δημόσιους φορείς, η συλλογή στοιχείων και πληροφοριών από εταιρείες και φορείς εντός και εκτός Ελλάδας (όπως ενδεικτικά από την Εθνική Αρχή Διαφάνειας (ΕΑΔ), την Ανεξάρτητη Αρχή Δημοσίων Εσόδων (ΑΑΔΕ), το Citizen Lab, την Google, τη Meta, εταιρείες παροχής υπηρεσιών αποστολής μηνυμάτων SMS μέσω διαδικτύου, εταιρείες παροχής υπηρεσιών φιλοξενίας ιστοσελίδων), η έκδοση απόφασης επιβολής προστίμου σε μία από τις ελεγχόμενες εταιρείες, λόγω μη συνεργασίας με την Αρχή, και η ενημέρωση των εισαγγελικών αρχών επί των ευρημάτων στον αντίστοιχο χρόνο εντοπισμού τους.

Με βάση τα έως τώρα στοιχεία, έχει διαπιστωθεί ότι πραγματοποιήθηκαν απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού προς πολυάριθμους χρήστες κινητής τηλεφωνίας στην Ελλάδα. Μια τέτοια απόπειρα πραγματοποιείται μέσω αποστολής μηνύματος SMS προς τον αριθμό κινητού τηλεφώνου ενός αποδέκτη-στόχου. 

Τα μηνύματα SMS αυτού του είδους περιέχουν σύντομο κείμενο και σύνδεσμο σε ιστοσελίδα, ο οποίος είναι παραπλανητικός, καθώς έχει μεγάλη ομοιότητα με μια πραγματική ιστοσελίδα. Στην περίπτωση κατά την οποία ο αποδέκτης του μηνύματος SMS ενεργοποιήσει τον σύνδεσμο που περιέχεται σε αυτό, επιλέγοντάς τον, τότε λαμβάνει χώρα εγκατάσταση του κατασκοπευτικού λογισμικού στη συσκευή του. 

Τα μηνύματα SMS έχουν αποσταλεί μέσω υπηρεσιών διαδικτύου (Web to SMS) με χρήση προπληρωμένων καρτών. Επισημαίνεται ειδικά ότι σε αυτά τα μηνύματα SMS διαπιστώθηκε ότι τα στοιχεία του αποστολέα υπήρξαν τροποποιημένα και ότι δεν αντιστοιχούν στον πραγματικό αποστολέα, προκειμένου να παραπλανάται ο παραλήπτης τους για να ενεργοποιεί τον περιεχόμενο σύνδεσμο ιστοσελίδας και με τον τρόπο αυτό να εγκαθίσταται το κατασκοπευτικό λογισμικό.

Κατά τις έρευνές της η Αρχή εντόπισε πάνω από 350 μηνύματα SMS τα οποία σχετίζονται με τις παραπάνω απόπειρες, εκ των οποίων πάνω από 220 περιείχαν παραπλανητικό σύνδεσμο ιστού. Πάνω από 120 μηνύματα πιθανολογείται ότι έχουν σταλεί για λόγους δοκιμής προς αταυτοποίητα κινητά προσωρινής, σύντομης χρήσης ("burner phones"). Η Αρχή έχει ήδη αποστείλει αναλυτική ενημέρωση προς τους συνδρομητές και χρήστες 92 τηλεφωνικών αριθμών οι οποίοι έλαβαν μήνυμα SMS με τα παραπάνω χαρακτηριστικά.

Επισημαίνεται, ειδικά, ότι ολιγάριθμα μηνύματα SMS φάνηκε αρχικά να σχετίζονται με την ηλεκτρονική εφαρμογή εμβολιασμού της ελληνικής Κυβέρνησης. Η ομάδα ελέγχου της Αρχής διενήργησε επιτόπιο έλεγχο στην εν λόγω εφαρμογή, από τον οποίο διαπιστώθηκε ότι τα παραπλανητικά αυτά μηνύματα δεν εστάλησαν εν τέλει από αυτή την εφαρμογή. Εξετάζοντας τα διαθέσιμα στοιχεία, η Αρχή έκρινε ότι δεν προκύπτει περιστατικό παραβίασης (διαρροής) δεδομένων από τους επίσημους φορείς της διαδικασίας εμβολιασμού.

Η Αρχή έχει ενημερώσει και θα συνεχίζει να ενημερώνει τις εισαγγελικές αρχές για τα ευρήματα της έρευνάς της, όσο αυτή είναι σε εξέλιξη. Στην παρούσα φάση, η Αρχή δεν διαθέτει στοιχεία, από τα οποία να είναι δυνατή η ταυτοποίηση συγκεκριμένου υπευθύνου επεξεργασίας (φυσικού ή νομικού προσώπου) για τις δραστηριότητες εγκατάστασης και χρήσης του υπό διερεύνηση κατασκοπευτικού λογισμικού, αλλά επισημαίνει ότι τόσο οι έρευνές της, όσο και η εξέταση της υπόθεσης, βρίσκονται ακόμα σε εξέλιξη.

Επιπλέον, η Αρχή, στο πλαίσιο των αρμοδιοτήτων της που απορρέουν από τον Γενικό Κανονισμό (ΕΕ) 2016/679 για την Προστασία Δεδομένων έχει κινήσει τις διαδικασίες συνεργασίας με τις εποπτικές αρχές άλλων κρατών μελών για τη διερεύνηση της υπόθεσης και τον έλεγχο των εταιρειών και φορέων που ενδέχεται να εμπλέκονται σε αυτή και βρίσκονται εντός Ε.Ε., αλλά εκτός Ελλάδας».

ΣΧΟΛΙΑ

Επιλέξτε Κατηγορία