OTE (Hellenic Telecommunications Organization) e COSMOTE, aziende che fanno parte di OTE Group, il più grande gruppo tecnologico in Grecia che offre servizi di telefonica fissa e mobile a banda larga, sono state recentemente multate dall’autorità greca per la protezione dei dati,rispettivamente per 3.250.000 e 5.850.000 euro, per aver nascosto ai loro clienti una fuga di informazioni sensibili a causa di un attacco informatico.
Come riferito dai colleghi di Bleeping Computer, l’agenzia ha affermato che COSMOTO ha violato almeno quattro articoli del GDPR, compreso quello che prevede di informare i clienti interessati del vero impatto dell’incidente informatico. Nel 2020, un’indagine interna condotta da COSMOTE aveva portato alla scoperta che un hacker aveva effettuato operazioni di social engineering su uno dei suoi dipendenti attraverso LinkedIn e successivamente ha usato strumenti di brute-forcing per ricavare le credenziali dell'account del bersaglio. In seguito, l’individuo è stato in grado di trafugare i file del database in cinque diverse occasioni, tanto che la dimensione dei dati rubati ammontava a 48GB.
COSMOTE mantiene i dettagli delle chiamate sui suoi server per 90 giorni per la garanzia della qualità del servizio, oltre a conservare una versione anonima dei dati per altri 12 mesi per l'analisi statistica. Purtroppo, il processo di anonimizzazione non è stato effettuato correttamente e i periodi di conservazione dei dati non sono stati rigorosamente rispettati. Per quanto riguarda i dati rubati, il server compromesso conteneva dettagli sensibili degli abbonati e dati sulle chiamate inerenti al periodo tra il 1° settembre 2020 e il 5 settembre 2020. Questi ultimi potrebbero venire utilizzati da eventuali malintenzionati per operazioni di ingegneria sociale mirata, phishing o addirittura estorsione.