Για να αποκτήσει κάποιος μη εξουσιοδοτημένη πρόσβαση σε στοιχεία πελατών του διεθνούς οίκου δημοπρασιών Christie’s φαίνεται πως δεν χρειαζόταν να έχει εξεζητημένες γνώσεις. Γερμανοί ειδικοί σε θέματα κυβερνοασφάλειας διαπίστωσαν ότι με απλές κινήσεις μπορούσε κάποιος τρίτος να δει τα δεδομένα χιλιάδων πελατών, όπως ονοματεπώνυμα, αριθμούς τηλεφώνου, διευθύνσεις κατοικίας, καθώς και διευθύνσεις αποστολής και χρέωσης.
«Γεμάτοι τρύπες, όπως ένα ελβετικό τυρί», με αυτόν τον τίτλο παρουσίασε πρόσφατα τα ευρήματά του σχετικά με τα τρωτά σημεία του οίκου Christie’s ο Μάρτιν Τσχίρσιτς, ειδικός σε θέματα κυβερνοασφάλειας στη γερμανική εταιρεία Zentrust. Δημιούργησε αρχικά έναν λογαριασμό χρήστη στην ιστοσελίδα των Christie’s και παρατήρησε ότι στο URL εμφανιζόταν ο αριθμός του λογαριασμού του. Εάν όμως άλλαζε κάποιο από αυτά τα ψηφία μπορούσε να αποκτήσει πρόσβαση στον λογαριασμό κάποιου άλλου χρήστη και στα προσωπικά του δεδομένα.
Οπως λέει ο ίδιος στην «Κ», αυτή η μέθοδος της χειραγώγησης του URL δεν απαιτεί ειδικές γνώσεις, δεν χρειάζεται κάποιος να είναι χάκερ για να το πετύχει και «είναι απίθανο να μην το είχε παρατηρήσει κανείς προηγουμένως».
Τα συμπεράσματά του παρουσιάστηκαν πρώτα σε έρευνα της αυστριακής εφημερίδας Der Standard. Ο οίκος δημοπρασιών επιβεβαίωσε στους Αυστριακούς δημοσιογράφους τη συγκεκριμένη ευπάθεια, αναφέροντας ότι τα επίμαχα στοιχεία που ήταν προσβάσιμα σε τρίτους δεν αφορούσαν οικονομικές συναλλαγές.
Η αγωγή
Τον προηγούμενο μήνα οι Christie’s δέχτηκαν κυβερνοεπίθεση από την ομάδα RansomHub, η οποία υποστηρίζει ότι πούλησε στο Σκοτεινό Διαδίκτυο τα προσωπικά δεδομένα 500.000 πελατών του οίκου δημοπρασιών που κατάφερε να υφαρπάξει. Η «Κ» παρουσίασε πρόσφατα την πρώτη αγωγή για αποζημίωση κατά του διεθνούς οίκου που κατατέθηκε στις ΗΠΑ από Ελληνα πελάτη τους. Στην αγωγή του ο Ευστάθιος Μαρούλης υποστηρίζει ότι τα στοιχεία πελατών που έχουν αφαιρεθεί μπορεί να χρησιμοποιηθούν μελλοντικά για κλοπή ταυτότητας και διάπραξη κάποιας άλλης απάτης, όπως παράνομη έκδοση δανείου, ή ξέπλυμα χρήματος.
Σε επικοινωνία με την αρχή προστασίας προσωπικών δεδομένων της Αυστρίας οι δημοσιογράφοι της Der Standard διαπίστωσαν ότι από τη διαρροή δεδομένων επηρεάστηκαν 500 συμπατριώτες τους. Η ίδια υπόθεση αφορά και Ελληνες πελάτες του οίκου δημοπρασιών, ο συνολικός αριθμός των οποίων δεν είναι ακόμη γνωστός. Από την ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα αναφέρουν στην «Κ» ότι οι Christie’s τους γνωστοποίησαν το περιστατικό παραβίασης στις 23 Μαΐου. Εκπρόσωπος των Christie’s έχει δηλώσει στην «Κ» πως δεν έχουν διαρρεύσει φωτογραφίες, υπογραφές ή άλλα έγγραφα με στοιχεία οικονομικών συναλλαγών των πελατών τους.
Αυτή δεν είναι πάντως η πρώτη φορά που ο Τσχίρσιτς εντοπίζει ευάλωτα σημεία στα υπολογιστικά συστήματα των Christie’s. Το 2023 είχε διαπιστώσει ότι στην ιστοσελίδα του οίκου δημοσιεύονταν φωτογραφίες έργων τέχνης από τις οποίες δεν είχαν απαλειφθεί τα μεταδεδομένα. Περίπου το 10% των εικόνων περιείχε τις ακριβείς συντεταγμένες από το μέρος όπου είχαν τραβηχτεί οι φωτογραφίες. Εάν αυτά τα στοιχεία αξιοποιούνταν από κακόβουλους χρήστες του Διαδικτύου υπήρχε ο κίνδυνος εντοπισμού των περιοχών όπου φυλάσσονταν τα έργα καθώς και κίνδυνος κλοπής τους.
Με καθυστέρηση
Η συγκεκριμένη ευπάθεια είχε επισημανθεί από τους ειδικούς τον Ιούνιο του 2023, αλλά αποκαταστάθηκε τον Αύγουστο του ίδιου έτους, αφού η εφημερίδα Washington Post είχε επικοινωνήσει με τους Christie’s σχετικά με το θέμα. Σύμφωνα με τους Γερμανούς ειδικούς, όμως, θα μπορούσαν όλα να είχαν λυθεί μέσα σε λίγες ώρες.
«Τέτοιου είδους προφανείς ελλείψεις θα έπρεπε να είχαν αποτραπεί από την αρχή», λέει στην «Κ» ο Τσχίρσιτς. «Δυσκολεύομαι να κατανοήσω γιατί τόσο εμφανείς αδυναμίες δεν εντοπίστηκαν και δεν διορθώθηκαν άμεσα».
