Hellenic Post’a (ELTA) 2022’de yapılan ve milyonlarca vatandaşın karanlık ağda veri sızıntısına yol açan siber saldırısından bir yıl önce, ELTA’nın bilgisayar sistemlerine yönelik bir iç soruşturma, yüksek sızma riski konusunda uyarıda bulunmuştu.
Bulgular arasında önemli güvenlik kusurları, eski yazılımların kullanımı ve çalışanların yetersiz eğitimi yer alıyordu. Grevin kaçınılmaz olduğu ortaya çıktı.
Kişisel Verileri Koruma Kurumu (DPA), geçen yılın şubat ayında ELTA’ya 2,9 milyon euro para cezası vermişti. Otoritenin tahminleri dört ila beş milyon kişinin etkilendiğini belirtiyor.
En kötü senaryo Mart 2022’de gerçekleşti.
Siber gaspçılardan oluşan “Vice Society” çetesi ELTA’yı vurdu, ağının bir kısmını günlerce felç etti ve milyonlarca vatandaşın verilerini karanlık ağda sızdırdı. ELTA’ya yapılan saldırıdan birkaç hafta sonra, 4 Mayıs’ta bilgisayar korsanları ele geçirdikleri dosyaları karanlık ağda yayınladılar.
Bunlar arasında diğer şeylerin yanı sıra şirket ve çalışan mali verileri, yönetim kurulu tutanakları, kişisel dosya ve müşteri fotoğrafları, OGA emekliler listesi, sorumlu beyanları ve yetkileri, müşteri ve tedarikçi verileri yer alıyor.
Sızan dosyaların örnek kontrolünde Kathimerini ayrıca bir bilgisayarda saklandığı anlaşılan sürücü belgesi fotoğraflarını da buldu.
ELTA’nın elektronik sistemlerindeki güvenlik açıklarına ilişkin 20 Nisan 2021 tarihli 27 sayfalık bir araştırmada, “küçük istisnalar dışında %80’den fazlasının uygulamaların ve işletim sistemlerinin eski, uyumlu olmayan, desteklenen ve savunmasız sürümlerini çalıştırdığı” belirtildi.
Bu durum “verilerin ele geçirilmesi, veri bozulması ve hatta veri yetersizliği riski” yarattı.
DPA ilk olarak 22 Mart 2023’te ELTA tarafından siber saldırı konusunda bilgilendirildi, aynı yılın 27 Temmuz’unda ise veri sızıntısı konusunda bilgilendirildi.
ELTA’da kullanılan şifrelere gelince, araştırmacılar birçok kullanıcının ortak şifreleri veya bazı durumlarda basit kodları paylaştığını keşfetti.
Yönetici şifreleriyle ilgili olarak, şifrenin birden fazla kişi tarafından bilindiği bazı paylaşılan yönetici hesaplarına dikkat çektiler.