Η σύλληψη ενός χάκερ την περασμένη Δευτέρα, ο οποίος κατόρθωσε να υποκλέψει τα προσωπικά δεδομένα περίπου 106 εκατ. ατόμων από την αμερικανική εταιρεία παροχής χρηματοπιστωτικών υπηρεσιών «Capital One»
έρχεται να προστεθεί σε έναν ήδη μακροσκελή κατάλογο περιστατικών που καταδεικνύουν ότι η ιδιωτική ζωή έχει καταστεί βορά μεγάλων συμφερόντων.
Σύμφωνα με το βρετανικό τηλεοπτικό δίκτυο BBC, η υπόθεση έχει προκαλέσει μεγάλη ανησυχία στις ΗΠΑ, καθώς η Capital One ανακοίνωσε πως τα υποκλαπέντα δεδομένα περιλάμβαναν ονόματα, διευθύνσεις και τηλεφωνικούς αριθμούς ανθρώπων που είχαν υποβάλει αιτήσεις εγγραφής στα ψηφιακά πιστωτικά προϊόντα της συγκεκριμένης εταιρείας.
Ωστόσο, αν και κατά την εταιρεία, ο 33χρονος χάκερ και πρώην τεχνικός εταιρείας λογισμικού στο Σιάτλ, Πέιτζ Τόμσον, συνελήφθη χωρίς να κατορθώσει να υποκλέψει και αριθμούς λογαριασμών που αντιστοιχούσαν στις πιστωτικές κάρτες των πελατών της εταιρείας, οι συνέπειες της υπόθεσης είναι ήδη αρκετά σοβαρές.
Η Capital One, ένας από τους μεγαλύτερους χρηματοπιστωτικούς οργανισμούς στις ΗΠΑ, εκτιμά πως η υποκλοπή αγγίζει τουλάχιστον 100 εκατ. άτομα στη χώρα και άλλα 6 εκατ. άτομα στον Καναδά, ενώ άλλοι 140.000 αριθμοί Κοινωνικής Ασφάλισης που συνδέονται σε συνδέονται σε 80.000 τραπεζικούς λογαριασμούς έχουν παραβιαστεί.
Ο δράστης βρίσκεται πλέον αντιμέτωπος με την αμερικανική Δικαιοσύνη και ειδικότερα κινδυνεύει με κάθειρξη πέντε ετών και με χρηματικό πρόστιμο ύψους 250.000 δολαρίων.
Τρωτό σύστημα – Ανησυχία και στην Ευρώπη
Οικονομικοί αναλυτές εκτιμούν ότι η κυβερνοεπίθεση στην Capital One καταδεικνύει ότι, περισσότερο από ποτέ, τα μέτρα ασφαλείας ακόμη και σε χρηματοπιστωτικούς «κολοσσούς» συνιστούν πρωτεύοντα στόχο παραβίασης από επιτήδειους χάκερ και κάθε λογής ψηφιακούς εγκληματίες.
Ωστόσο, το κυβερνοέγκλημα έχει προκαλέσει μεγάλη ανησυχία και στην εδώ πλευρά του Ατλαντικού. Στην Ολλανδία, σύμφωνα με εκτεταμένη έρευνα που διενήργησε η Στατιστική Αρχή της χώρας (CBS) και δόθηκε στη δημοσιότητα τον Ιούνιο του 2019, τουλάχιστον 1,2 εκατ. Ολλανδοί πολίτες έπεσαν θύματα ηλεκτρονικού εγκλήματος την προηγούμενη χρονιά.
Τα ευρήματα της έκθεσης υπό τον τίτλο «Ψηφιακή Προστασία και Εγκληματικότητα» (Digital Safety and Criminality Report) ήταν αποκαλυπτικά: Άτομα ηλικίας 18 – 25 πέφτουν πιο συχνά θύματα εγκλημάτων μέσω του Διαδικτύου, με παράνομες πρακτικές όπως το ηλεκτρονικό «ψάρεμα» (phishing), η ηλεκτρονική υποκλοπή δεδομένων (hacking) και η ψηφιακή κλοπή ταυτότητας.
Σύμφωνα, πάντα, με την έρευνα της ολλανδικής CBS, μεταξύ των ατόμων ηλικίας κάτω των 25 ετών, 12% των χρηστών του Διαδικτύου έπεσαν θύματα κυβερνοεγκλημάτων κατά τη διάρκεια του 2018.
Το κακό προηγούμενο με την Cambridge Analytica
Το περιστατικό της ψηφιακής υποκλοπής στην Capital One επανέφερε μνήμες από την υπόθεση υφαρπαγής προσωπικών δεδομένων από συνολικά 87 εκατ. χρήστες του Facebook το 2018, με «πρωταγωνίστρια» τη βρετανική εταιρεία πολιτικών συμβούλων, την Cambridge Analytica.
Η υπόθεση έγινε γνωστή το Μάρτιο του 2018, όταν αρκετά διεθνή ΜΜΕ αποκάλυψαν τη δραστηριότητα της συγκεκριμένης εταιρείας, η οποία, σε επίπεδο υπηρεσιών συνδύαζε τη συλλογή και την ανάλυση ψηφιακών δεδομένων, ενώ νωρίτερα, το 2015 είχε αναλάβει τη στρατηγική επικοινωνίας στην προεκλογική καμπάνια του προέδρου Ντόναλντ Τραμπ αλλά και την έρευνα του Leave.EU, ενός εκ των οργανισμών που είχαν αναλάβει τη καμπάνια για το Brexit.
Η αποκάλυψη της ψηφιακής «διαρροής» προκάλεσε σάλο στη διεθνή κοινή γνώμη, αναδεικνύοντας ένα εξαιρετικά αποσαρθρωμένο πεδίο σε ό,τι αφορά την ασφάλεια των ψηφιακών προσωπικών δεδομένων.
Υπό το βάρος των δικαστικών ερευνών αλλά και της κατακραυγής, η Facebook διέκοψε κάθε συνεργασία με την Cambridge Analytica, απαγορεύοντας οποιαδήποτε διαφήμισή της στην ομώνυμη πλατφόρμα κοινωνικής δικτύωσης.
Ο Επιθεωρητής Πληροφοριών της Βρετανίας εξέδωσε ένταλμα έρευνας των Αρχών στους εξυπηρετητές (servers) της εταιρείας. Με τον τρόπο αυτό, αποκαλύφθηκε το έγκλημα: Συνολικά 270.000 χρήστες του Facebook είχαν διαρρεύσει εν αγνοία τους τα προσωπικά δεδομένα περίπου 87 εκατ. χρηστών – φίλων και γνωστών τους – μέσω μιας εφαρμογής του δημοφιλούς μέσου κοινωνικής δικτύωσης, που λεγόταν «This Is Your Digital Life». Τελικός αποδέκτης των δεδομένων αυτών, όπως αποδείχθηκε, ήταν η Cambridge Analytica.
Την Πρωτομαγιά του 2018, η εταιρεία υπέβαλε αίτηση πτώχευσης κι ανέστειλε τη λειτουργία της, όμως τα «απόνερα» της υπόθεσης εξακολουθούν να προκαλούν προβληματισμό σε κυβερνήσεις και οργανισμούς προστασίας προσωπικών δεδομένων.
Ο κανονισμός GDPR και η κατάσταση στην Ελλάδα
Στις 25 Μαΐου 2018, περίπου τρεις εβδομάδες μετά την αναστολή λειτουργίας της Cambridge Analytica, τέθηκε σε εφαρμογή στην Ευρώπη των 28 ο Γενικός Κανονισμός Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (GDPR), που προβλέπει πρόστιμα δεκάδων εκατομμυρίων ευρώ για όσους παραβιάζουν το πλαίσιο προστασίας των προσωπικών δεδομένων.
Σε πρόσφατη συνέντευξή του ο επικεφαλής της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, Κωνσταντίνος Μενουδάκος, είχε προειδοποιήσει πως η «περίοδος χάριτος» προς φυσικά και νομικά πρόσωπα που περιλάμβανε μόνο συστάσεις, έχει πλέον λήξει. Υπογράμμισε δε πως «από εδώ και στο εξής, έρχονται πρόστιμα».
Ενδεικτικά, σύμφωνα με τα στοιχεία που έχει στη διάθεσή της η Ανεξάρτητη Αρχή, από τις 25/05/2018, οπότε και τέθηκε σε πλήρη ισχύ η νομοθεσία GDPR, έχουν γίνει συνολικά 1.136 καταγγελίες για παραβίαση προσωπικών δεδομένων, με τα «σκήπτρα» να κατέχουν οι ιδιωτικές επιχειρήσεις.
Ταυτόχρονα, κατά την ίδια πηγή, η Ελλάδα έχει καθυστερήσει σημαντικά στην υλοποίηση κρίσιμων νομικών ενεργειών, όπως για παράδειγμα η υιοθέτηση του εφαρμοστικού νόμου, ο οποίος θα εξειδικεύει τα όποια «θολά» σημεία της νομοθεσίας GDPR. Ήδη, μάλιστα, η Κομισιόν έχει παραπέμψει τη χώρα μας, για το λόγο αυτό, στο Ευρωπαϊκό Δικαστήριο.