Παρασκευή, 11 Ιουλίου 2014

Διαρροή προσωπικών δεδομένων από την ιστοσελίδα του ΟΑΕΕ

Στις 13 Νοεμβρίου 2013, ώρα 21:00, μπορούσες να πας στην ιστοσελίδα του ΟΑΕΕ, να εισάγεις τυχαία ένα username (π.χ. maria), και το σύστημα θα σου επέστρεφε σε μορφή κειμένου (plain text) το password του ασφαλισμένου!! Και έτσι απλά, χωρίς καμία απολύτως γνώση χειρισμού υπολογιστών, μπορούσες να συνδεθείς στον προσωπικό λογαριασμό του ασφαλισμένου και να μάθεις τα πάντα για αυτόν: ονοματεπώνυμο, διεύθυνση, τηλέφωνο, ημερομηνία γέννησης, ΑΦΜ, ΑΜΚΑ, αριθμό τραπεζικού λογαριασμού, ετήσιο εισόδημα, φόροι, ασφαλιστικές εισφορές, συντάξεις, κ.α. Μπορούσες μάλιστα να κάνεις και αλλαγές σε κάποια στοιχεία, όπως π.χ. το email και το password, και να αφαιρέσεις ουσιαστικά την πρόσβαση του ίδιου του ασφαλισμένου από το λογαριασμό του!!

Μία ώρα μετά, στις 22:09 ενημερώθηκε μέσω εμαιλ ο ΟΑΕΕ, το Υπουργείο Εργασίας, και η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Αλλά ως γνωστόν το δημόσιο έχει το δικό του ωράριο οπότε το πρόβλημα δεν διορθώθηκε παρά μόνο την επόμενη μέρα και μάλιστα το μεσημέρι!! Ενώ η ΑΠΔΠΧ, που προφανώς είναι πνιγμένη στη γραφειοκρατία, δεν είχε χρόνο να εξετάσει το συμβάν μέχρι τις 19 Νοεμβρίου, δηλαδή 6 μέρες μετά, όταν και διαπίστωσε (χωρίς να ντρέπεται να το αναφέρει στην γραπτή της απάντηση) ότι δεν ήταν δυνατόν να επιβεβαιώσει την καταγγελία. Ο ΟΑΕΕ, από την άλλη, ούτε καν που διανοήθηκε να ενημερώσει τους ασφαλισμένους του και ήλπιζε προφανώς ότι το όλο θέμα θα γίνει γαργάρα.

Τελικά, χρειάστηκαν 8 επίσημες επιστολές, 1 τηλεφωνική επικοινωνία, 1 συνεδρίαση της ΑΠΔΠΧ, και 239 ημέρες, ώστε να αναγκαστεί ο ΟΑΕΕ να πράξει το ελάχιστο και το αυτονόητο... να παραδεχτεί δημόσια τι συνέβη και να ενημερώσει τους ασφαλισμένους του. Δυστυχώς όμως το email που λάβαμε οι ασφαλισμένοι του ΟΑΕΕ στις 10 Ιουλίου 2014 όχι μόνο στερείται κάθε ίχνους αυτοκριτικής αλλά είναι και εντελώς γελοίο αφού κλείνει με την ακόλουθη φράση:

"Προληπτικά, εφόσον είστε χρήστες σε οποιαδήποτε άλλη διαδικτυακή υπηρεσία, στην οποία τυχόν χρησιμοποιείτε το ίδιο συνθηματικό (password) που ήταν σε ισχύ κατά το παραπάνω χρονικό διάστημα για τις υπηρεσίες του ΟΑΑΕ, σας συστήνουμε να το μεταβάλετε."

Ευτυχώς όμως στην Ελλάδα είμαστε αυστηροί με το Νόμο και ξέρουμε να επιβάλλουμε ποινές εκεί που πρέπει. Στην προκειμένη περίπτωση η ΑΠΔΠΧ εξάντλησε την αυστηρότητά της και απηύθυνε... "αυστηρή προειδοποίηση"!! Αλλά τι να περιμένει κανείς από μια υπηρεσία η οποία δεν θεωρεί εξωφρενικό το να καθυστερήσει 6 ολόκληρες μέρες για να εξακριβώσει μια παραβίαση του νόμου η οποία στον ψηφιακό κόσμο μπορεί να διαρκέσει μερικά λεπτά μόνο. Όσο υπάρχουν υπηρεσίες όπως ο ΟΑΕΕ και η ΑΠΔΠΧ, οι οποίες δεν έχουν κίνητρο να λειτουργήσουν καλύτερα (ή συνέπειες αν θα λειτουργήσουν χειρότερα), η προστασία των προσωπικών μας δεδομένων θα είναι εντελώς καταδικασμένη.

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου