Ανδρέου ηλεκτρονικές απάτες

Πώς έγινε η διαρροή usernames του taxisnet – Τα ερωτήματα για την ασφάλεια των δεδομένων

Ερωτήματα και ανησυχία για την ασφάλεια των φορολογικών -και οχι μόνο- δεδομένων των πολιτών δημιούργησε η διαρροή των ονομάτων οφειλετών του Δημοσίου (τελών κυκλοφορίας) και των usernames. Αμέσως χτύπησε συναγερμός στην ΑΑΔΕ και σε όλους ήρθε στο μυαλό η πριν από 20 (2000-2012) χρόνια διαρροή προσωπικών δεδομένων.

Η έκταση της διαρροής σε καμία περίπτωση δεν συγκρίνεται με την περίπτωση των ετών 2000-2012, οπότε στοιχεία περίπου 5 εκατ. φορολογούμενων είχαν βρεθεί σε εταιρείες εμπορίας προσωπικών δεδομένων. Μάλιστα, στην ΑΑΔΕ (για λογαριασμό της τότε Γενικής Γραμματείας Πληροφοριακών Συστημάτων) επιβλήθηκε το μεγαλύτερο πρόστιμο της εποχής ύψους 150.000 ευρώ, ενώ επιβλήθηκαν κι πρόστιμα σε δύο επιχειρήσεις στις οποίες είχαν εντοπιστεί τα στοιχεία.

Το πρόστιμο επιβλήθηκε από την Αρχή Προστασίας Προσωπικών Δεδομένων, καθώς πλήθος απόρρητων προσωπικών φορολογικών δεδομένων (Ε1, Ε9, στοιχεία για το ΕΤΑΚ, τα τέλη κυκλοφορίας κ.τ.λ.), που αφορούν στο σύνολο των φορολογουμένων στην Ελλάδα, για τα έτη τουλάχιστον από το 2000 έως και το 2012, κατέστησαν αντικείμενο παράνομης επεξεργασίας από τρίτους, μετά από σειρά αλλεπάλληλων διαρροών.

Η διαρροή οφειλόταν στη μη ύπαρξη κατάλληλων μέτρων ασφάλειας για την αποτροπή, ανίχνευση και διερεύνηση περιστατικών παραβίασης προσωπικών δεδομένων στην υπηρεσία αυτή.

Την περασμένη εβδομάδα η ΑΑΔΕ ανακοίνωσε ότι σε 16.000 φορολογούμενους (στο πλαίσιο βεβαίωσης των τελών κυκλοφορίας του 2018) εστάλησαν σχετικά μηνύματα κοινοποίησης των τελών κυκλοφορίας τα οποία περιελάμβαναν λόγω τεχνικής αστοχίας – ονοματεπώνυμα και όνομα χρήστη – username (όχι κωδικούς πρόσβασης – password) και άλλων οφειλετών.

Τι θα γινόταν όμως εάν διέρρεαν και τα password; Τα στοιχεία των φορολογουμένων που διέρρευσαν (άγνωστο πόσα) επί της ουσίας είναι άχρηστα. Και αυτό καθώς οι κωδικοί πρόσβασης – password τηρούνται σε κρυπτογραφημένη μορφή και δεν είναι ανακτήσιμοι ούτε από την ΑΑΔΕ. Το σημαντικό επίσης είναι ότι στα email δεν υπήρχαν στοιχεία οφειλών για τους άλλους οφειλέτες που περιελήφθησαν στα μηνύματα αυτά και ως εκ τούτου δεν υπάρχει κίνδυνος διαρροής περαιτέρω προσωπικών δεδομένων.

Το λάθος, όπως αναφέρουν πηγές της φορολογικής διοίκησης, έγινε από τον ικανότερο υπάλληλο της Διεύθυνσης Ηλεκτρονικής Διακυβέρνησης της ΑΑΔΕ. Προφανώς, όλα είναι για τους ανθρώπους ακόμα και τα λάθη. Συγκεκριμένα, ενσωματώθηκαν στο “σώμα” του email τα στοιχεία οφειλετών τελών κυκλοφορίας.

Αμέσως κινητοποιήθηκε ο μηχανισμός της ΑΑΔΕ. Πρώτη κίνηση να ενημερωθεί η Αρχή Προστασίας Προσωπικών Δεδομένων η οποία, σε αυτήν τη φάση ζήτησε να σταλούν μηνύματα στους 16.000 που έλαβαν και τα στοιχεία των υπόλοιπων οφειλετών. Μάλιστα, τους ζητήθηκε να διαγραφεί άμεσα το μήνυμα που έλαβαν. Σημειώνεται ότι κάποιοι από αυτούς ανάρτησαν στα social media τα μηνύματα που έλαβαν, κάτι το οποίο είναι παράνομο.

Σημασία έχει εάν έχουν ληφθεί όλες τα απαραίτητα μέτρα προκειμένου να μην επαναληφθεί διαρροή αντίστοιχη των 5 εκατ. δεδομένων φορολογούμενων, αλλά και αυτή που συνέβη την προηγούμενη εβδομάδα. Κατά πόσο δηλαδή η ΑΑΔΕ έχει δημιουργήσει τις δικλείδες ασφαλείας έτσι ώστε όλοι οι φορολογούμενοι να… κοιμούνται ήσυχοι.

Από την ΑΑΔΕ αναφέρουν ότι γίνονται συχνά τεστ ασφαλείας, ενώ στις προθέσεις της είναι να αλλάξει τη μορφή των μηνυμάτων που αποστέλλονται. Θα ακολουθηθούν διαδικασίες που εφαρμόζουν και οι τράπεζες. Συγκεκριμένα, τα στοιχεία των φορολογούμενων δεν θα αναγράφονται κανονικά αλλά με αστεράκια. Δηλαδή, τα πρώτα στοιχεία του ονόματος και του επωνύμου και μετά θα ακολουθούν αστεράκια.

Σημειώνεται ότι πλέον οι κωδικοί του Taxis χρησιμοποιούνται για την πρόσβαση των φορολογούμενων και των πολιτών στις περισσότερες ψηφιακές διαδικασίες της κυβέρνησης. Για την έκδοση ταυτότητας, διαβατηρίου, άδεια οδήγησης (έκδοση παραβόλων), υπεύθυνες δηλώσεις και πληρεξούσια, η είσοδος σε ασφαλιστικούς οργανισμούς κ.λπ. Ουσιαστικά η ζωή μας όλοι βρίσκεται στο username και τους κωδικούς πρόσβασης του taxis.

Για την ιστορία, η ΑΑΔΕ έχει αποστείλει οδηγίες προς τα ενδιαφερόμενα πρόσωπα, προκειμένου για την αλλαγή κωδικών πρόσβασης, εφόσον το επιθυμούν. Παγίως συστήνεται, ως μέτρο προληπτικής προστασίας των προσωπικών δεδομένων, η συχνή αλλαγή των κωδικών πρόσβασης TAXISnet. Για το περιστατικό, ο Διοικητής της ΑΑΔΕ, Γιώργος Πιτσιλής, διέταξε τη διενέργεια κατεπείγουσας Ένορκης Διοικητικής Εξέτασης, για την απόδοση πειθαρχικών ευθυνών και την αποτροπή επανάληψης παρόμοιου περιστατικού στο μέλλον.

Σε κάθε περίπτωση η ακριβής έκταση του θέματος θα αποσαφηνιστεί και από τους ελέγχους που θα πραγματοποιήσει η Αρχή Προστασίας Προσωπικών Δεδομένων.

Του Προκόπη Χατζηνικολάου.

Πηγή: Capital.gr