Verkkolehden uusimmat jutut

Helsingin kaupungin tietomurto

  • 2 763
  • 20
I

I am not Jesus

Jäsen
www.hs.fi

Helsingin tietomurto | Pelättyä laajemmaksi paljastunut tietomurto voi vaarantaa jopa kansallista turvallisuutta, sanoo professori

Professori Jouni Isoaho pitää tietomurtoa Suomen mittapuulla poikkeuksellisena.
www.hs.fi www.hs.fi

"TIETOMURRON kohteena on noin 150 000 oppijaa ja heidän huoltajansa sekä kaikki kaupungin noin 38 000 työntekijää.


Murretulla verkkolevyllä on säilytetty henkilötunnuksia, osoitteita ja tietoja äidinkielestä, kansalaisuudesta ja uskontokunnasta.


Kaupungin omien päiväkotien, koulujen ja oppilaitosten lisäksi tietomurron tekijä on saanut asiakastietoja mahdollisesti muista päiväkodeista ja kouluista.


Näihin lukeutuvat yksityiset päiväkodit, helsinkiläiset sopimuskoulut, yksityiset ja valtion koulut sekä yksityiset lukiot ja ammattioppilaitokset."

Taitaa kohta olla aika tehdä henkilötunnukset täysin hyödyttömiksi, sillä kohta ei kovin montaa suomalaista löydy, jonka tiedot eivät ole vuotaneet jossain tietomurrossa.
 
B

Baldrick

Jäsen
Nykyisenä vahvan tunnistautumisen aikana ei liene mahdottoman dramaattista, vaikka nimi, hetu ja osoite onkin jonkun käsissä. Tai no jaa, kyllähän noilla tiedoilla puhelimitse pystyy kaikkea keljua tekemään, mutta melko työlästä ja riskialtista hommaa sekin rajallisilla taloudellisilla hyödyillä.

Sinne meni meidänkin perheen tiedot nimittäin. Toki ipanat niin pieniä, että mitään arkaluontoista ei sieltä löydy, pl. nuo perustiedot.
 
J

Jymäkkä

Jäsen
Suosikkijoukkue
HIFK, NY Rangers, Ketterä, Saksa (futis), IPV
Baldrick kirjoitti:
Nykyisenä vahvan tunnistautumisen aikana ei liene mahdottoman dramaattista, vaikka nimi, hetu ja osoite onkin jonkun käsissä. Tai no jaa, kyllähän noilla tiedoilla puhelimitse pystyy kaikkea keljua tekemään, mutta melko työlästä ja riskialtista hommaa sekin rajallisilla taloudellisilla hyödyillä.

Sinne meni meidänkin perheen tiedot nimittäin. Toki ipanat niin pieniä, että mitään arkaluontoista ei sieltä löydy, pl. nuo perustiedot.
Laajenna klikkaamalla
Mä nyt varotoimena tein vapaaehtoisen luottokiellon, sekä kiellot myös osoitteen muutokselle ja rekisteröinneille(yhdistystyksiin ja yritysten omistajiin/hallituksiin). En tiedä miten tarkkaan noita syynätään kaikkien papereissa olevien nimien osalta, jos tietoja noin väärinkäytettäisiiin. Näin on yritetty saada identiteettivarkauksien uhreja vastuullisiksi muiden tekemistä veloista mm.

Jossain vaiheessahan noitakin joutuu sitten purkamaan, jos itse tarvitsee vaikka luottoa ottaa, ja vaikea sanoa mikä se aikajänne on, että vaara on päällä. Yksi työkaveri joutui tähän kurimukseen aikanaan. Ihan eri keissi siis, vuokralainen nyysi tiedot vuokrasopimuksesta(nimi, hetu ja osoitetiedot), ja se oli vuosien piina, kun tämä huijari tuhosi luottotietonsa, ja hetun "nollaaminen" ei käynyt ihan hetkessä.
 
Viimeksi muokattu:
M

mjr

Jäsen
Suosikkijoukkue
Suomen maajoukkueet
Baldrick kirjoitti:
Nykyisenä vahvan tunnistautumisen aikana ei liene mahdottoman dramaattista, vaikka nimi, hetu ja osoite onkin jonkun käsissä. Tai no jaa, kyllähän noilla tiedoilla puhelimitse pystyy kaikkea keljua tekemään, mutta melko työlästä ja riskialtista hommaa sekin rajallisilla taloudellisilla hyödyillä.

Sinne meni meidänkin perheen tiedot nimittäin. Toki ipanat niin pieniä, että mitään arkaluontoista ei sieltä löydy, pl. nuo perustiedot.
Laajenna klikkaamalla
Minun sukulaiseltani varastettiin taannoin lompakko, jossa oli ajokortti, ja kaikenlaista kiusaa sillä pelkällä henkilötunnuksella ehdittiin lyhyessä ajassa tehdä, käsittämätöntä kyllä.
 
R

rpeez

Jäsen
Jymäkkä kirjoitti:
Mä nyt varotoimena tein vapaaehtoisen luottokiellon, sekä kiellot myös osoitteen muutokselle ja rekisteröinneille(yhdistystyksiin ja yritysten omistajiin/hallituksiin). En tiedä miten tarkkaan noita syynätään kaikkien papereissa olevien nimien osalta, jos tietoja noin väärinkäytettäisiiin. Näin on yritetty saada identiteettivarkauksien uhreja vastuullisiksi muiden tekemistä veloista mm.

Jossain vaiheessahan noitakin joutuu sitten purkamaan, jos itse tarvitsee vaikka luottoa ottaa, ja vaikea sanoa mikä se aikajänne on, että vaara on päällä. Yksi työkaveri joutui tähän kurimukseen aikanaan. Ihan eri keissi siis, vuokralainen nyysi tiedot vuokrasopimuksesta(nimi, hetu ja osoitetiedot), ja se oli vuosien piina, kun tämä huijari tuhosi luottotietonsa, ja hetun "nollaaminen" ei käynyt ihan hetkessä.
Laajenna klikkaamalla
Tuo rekisteröinti on varmaan se PRH:lle tehty ilmoitus, jonka itsekin tein muutama vuosi sitten ettei löydä itseään jostain kupruyhtiön hallituksesta ;-). Jäi jotenkin kuva, että aika helpoilla lähtötiedoilla pystyi sen kiellon silloin tekemään.

Tuosta luottokiellosta, pitäisi varmaan tehdä myös vaikken Helsinkin tapauksessa mukana olekaan, mutta vaikuttaako se myös mahdollisesti niin että Visa kortin credit puolen käytölle tulee ongelmia?
Vero.fi:ssa näyttäisi olevan ilmainen versio luottokiellolle, linkki vie infoon.
 
J

Jymäkkä

Jäsen
Suosikkijoukkue
HIFK, NY Rangers, Ketterä, Saksa (futis), IPV
rpeez kirjoitti:
Tuo rekisteröinti on varmaan se PRH:lle tehty ilmoitus, jonka itsekin tein muutama vuosi sitten ettei löydä itseään jostain kupruyhtiön hallituksesta ;-). Jäi jotenkin kuva, että aika helpoilla lähtötiedoilla pystyi sen kiellon silloin tekemään.

Tuosta luottokiellosta, pitäisi varmaan tehdä myös vaikken Helsinkin tapauksessa mukana olekaan, mutta vaikuttaako se myös mahdollisesti niin että Visa kortin credit puolen käytölle tulee ongelmia?
Vero.fi:ssa näyttäisi olevan ilmainen versio luottokiellolle, linkki vie infoon.
Laajenna klikkaamalla
Ei vaikuta käytössä olevien korttien käyttöön tai luottorajoihin, vain uusiin sopimuksiin. Luottorajan korotus jo estynee, joskin tuonkin saa kai pankin kanssa hoidettua sitten esittämällä todistuksen vapaaehtoisesta kiellosta.

Ja juu, juurikin tuonne PRH:lle tein itsekin.
 
J

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Pitkä listahan noita asioita on, jotka pelkällä henkilötunnuksella saa tehtyä. Esimerkiksi: Postissa pystyy tekemään osoitteenmuutoksen pelkästään henkilötunnuksella. Sen jälkeen Klarnalla voi ostaa velaksi tavaraa pelkällä henkilötunnuksella. Vaihdat ensin osoitteen johonkin poste restanteen, sen jälkeen tilaat Klarnalla niin paljon kuin ikinä pystyt, haet tavarat ja myyt ne.

On jotenkin erikoista, että tällaisia varmistamattomia, pelkkään henkilötunnukseen perustuvia palveluita enää tarvittaisiin muuta kuin ihan yksittäisiä erityistapauksia varten, jotka kuvittelisi voivan jo vaatia toimittamaan ihan henkilökohtaisesti. Tuo Klarnan oikeus myydä tavaraa ilman, että varmistetaan käyttäjän henkilöllisyys on taas aivan käsittämätön vastuun siirto ja on käsittämätöntä, miten oikeusvaltiossa on tuollainen koskaan hyväksytty. Siinä missä esim luottokorttipetokset defaulttina korvataan asiakkaalle, Klarna lähtökohtaisesti loppuun asti väistää vastuutaan ja luottotappiot maksatetaan rikoksen uhrilla. Kai meidän mielestä sitten on vaan niin tärkeää saada myydä kiinaroskaa halvalla ilman yhtään ylimääräistä varmistussteppiä, että käytännössä kuka vaan joka tietää toisen henkilötunnuksen voi sarjatehtailla petoksia.
 
P

Purkan Jauhaja

Jäsen
Suosikkijoukkue
HPK
JZZ kirjoitti:
Postissa pystyy tekemään osoitteenmuutoksen pelkästään henkilötunnuksella. Sen jälkeen Klarnalla voi ostaa velaksi tavaraa pelkällä henkilötunnuksella. Vaihdat ensin osoitteen johonkin poste restanteen, sen jälkeen tilaat Klarnalla niin paljon kuin ikinä pystyt, haet tavarat ja myyt ne.
Laajenna klikkaamalla

Pystyykö tätä vielä tekemään? Eikö Klarnakin vaadi nykyään vahvaa tunnistautumista verkkopankin kautta? Muistaakseni tuo ainakin viimeksi vaadittiin kun palvelua käytin.
 
A

alwahla

Jäsen
Suosikkijoukkue
Flames, Canadiens, Kraken, HIFK
Eilen sain soiton kaupungilta, koska olen turvakieltoasiakas ja koska olen opiskelijana iltalukiossa. Mitään uutta hänellä ei ollut sanottavanaan, vaan neuvoi vaan odottamaan sekä seuraamaan kaupungin tiedotusta. Itseäni ei juurikaan huoleta tuo tietomurto, koska yhteystietona ovat salaisia ja koska minulla ei ole luottotietoja. Enemmän minua harmittaa niiden muiden puolesta, jotka ovat oikeasti ottaneet osumaa tässä tapahtumassa.
 
J

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Purkan Jauhaja kirjoitti:
Pystyykö tätä vielä tekemään? Eikö Klarnakin vaadi nykyään vahvaa tunnistautumista verkkopankin kautta? Muistaakseni tuo ainakin viimeksi vaadittiin kun palvelua käytin.
Laajenna klikkaamalla
Klarnan sivuilta ainakin löytyy seuraava teksti:
Kun valitset Klarnan Maksa myöhemmin -palvelun, asiakkaan ei tarvitse muistaa pitkiä ja monimutkaisia pankki- tai korttitietoja.
  • Palaavat asiakkaat tunnistetaan. Henkilötiedot on esitäytetty.
  • Uusien Klarna asiakkaiden on täytettävä vain muutamia henkilötietoja.
Laajenna klikkaamalla
Itse en nyt ole tuota testannut, miten toimii, kun en Klarnaa juuri tästä syystä halua suosia tai heille bisnestä luoda. Toki siis muitakin vastaavia toimittajia on kuin Klarna, eli ei nyt ihan pelkästään heitä tässä ole tarkoitus haukkua. Klarna kuitenkin selvästi yleisin.
 
A

alwahla

Jäsen
Suosikkijoukkue
Flames, Canadiens, Kraken, HIFK
M

MAKE #89

Jäsen
Suosikkijoukkue
TPS
Itse en näistä tietoturva-asioista paljoakaan tiedä, mutta rehellisesti sanottuna luottamus näiden digitietokantojen salassapysymiseen on aika matala. Ihmeenä pidän jos esim. Kanta-palvelu ei jossain kohtaa joudu vääriin käsiin. Kaiken järjen mukaan nämä pitäisi suojata paremmin kuin pankkiholvit konsanaan, mutta pelkäänpä että aika perustason tietoturvalla mennään. Paljon tärkeämpiinkin tietokantoihin ovat venäläiset ja kiinalaiset hakkeriryhmät murtautuneet, esim. USA:n turvallisuusviranomaisten tiedostoihin. Nyt voi olla Suomenkin kohdalla vähän enemmän tällaista toimintaa kun Venäjä haluaa osoittaa Nato-jäsenyydellä olevan negatiivisia vaikutuksia. Jonkinlaista ryhtiliikettä kuitenkin toivoisi ihan kansallisella tasolla ettei ihan helpoksi tehdä tätä pahantekijöille.

Nykyajan dilemma on että kaikki pitäisi olla digiä ja etänä hoidettavissa, mutta valitettavasti kaikki internetiin kytketty on uhanalaista ja alttiina tietomurroille.
 
M

Mediakuutio

Jäsen
alwahla kirjoitti:
www.hs.fi

Helsingin tietomurto | Miksi miljoonat asiakirjat olivat samalla verkkolevyllä? Helsinki vetoaa ”normaaliin käytäntöön”

Kaupunkiin kohdistunut tietomurto on herättänyt runsaasti kysymyksiä siitä, miksi näin kävi. Näin Helsinki vastaa.
www.hs.fi www.hs.fi

Kauniisti sanottuna hakusessa kaupungin käsitys hyvästä tietoturvasta. Hämmentävä ja samalla todella pelottava asia.
Laajenna klikkaamalla
Ja yllättäen vastuuta kukaan ei ole taas ottamassa mistään. Kaupungin viestinnästä saa sellaisen kuvan, että he ovat olleet tässä se varsinainen uhri.

Edit. Ja hiukan hämmentävää on myös tuo, että murtautuja on päässyt korottamaan omia käyttöoikeuksiaan. Mihinköhän kaikkeen siellä on lopulta ollut pääsy.
 
J

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
MAKE #89 kirjoitti:
Itse en näistä tietoturva-asioista paljoakaan tiedä, mutta rehellisesti sanottuna luottamus näiden digitietokantojen salassapysymiseen on aika matala. Ihmeenä pidän jos esim. Kanta-palvelu ei jossain kohtaa joudu vääriin käsiin. Kaiken järjen mukaan nämä pitäisi suojata paremmin kuin pankkiholvit konsanaan, mutta pelkäänpä että aika perustason tietoturvalla mennään. Paljon tärkeämpiinkin tietokantoihin ovat venäläiset ja kiinalaiset hakkeriryhmät murtautuneet, esim. USA:n turvallisuusviranomaisten tiedostoihin. Nyt voi olla Suomenkin kohdalla vähän enemmän tällaista toimintaa kun Venäjä haluaa osoittaa Nato-jäsenyydellä olevan negatiivisia vaikutuksia. Jonkinlaista ryhtiliikettä kuitenkin toivoisi ihan kansallisella tasolla ettei ihan helpoksi tehdä tätä pahantekijöille.

Nykyajan dilemma on että kaikki pitäisi olla digiä ja etänä hoidettavissa, mutta valitettavasti kaikki internetiin kytketty on uhanalaista ja alttiina tietomurroille.
Laajenna klikkaamalla
Periaatteessahan tietoturva oikein tehtynä parhaimmillaankin voi vain hidastaa järjestelmään murtautumista, rajata murron kautta saatavilla olevan tiedon määrää sekä minimoida murron kautta saadun tiedon haittavaikutuksia. Tavoitteena on saada järjestelmään murtautuminen niin vaikeaksi, että siitä jäisi jälkiä jo heti alkuvaiheessa jolloin tilanteeseen voitaisiin reagoida ja vahingot minimoida ennen kuin hyökkääjä pääsee laajasti syvemmälle järjestelmässä. Tosiasia on, että tietomurron täysin estävää järjestelmää ei ole olemassakaan. Hyökkääjien käytössä olevat resurssit kun voivat olla käytännössä rajattomat, varsinkin esimerksi valtioiden suorittamissa hyökkäyksissä. Ja sitten on toki vielä esimerkiksi laitetason haavoittuvuudet, joille kukaan muu kuin laitevalmistajat (hekin rajallisesti) voivat mitään tehdä.
 
J

jussi_j

Jäsen
Suosikkijoukkue
Jokerit
JZZ kirjoitti:
Periaatteessahan tietoturva oikein tehtynä parhaimmillaankin voi vain hidastaa järjestelmään murtautumista, rajata murron kautta saatavilla olevan tiedon määrää sekä minimoida murron kautta saadun tiedon haittavaikutuksia. ...
Laajenna klikkaamalla
Siksihän noudatetaan sipulimaista eli kerrosrakennetta. Kun hyökkääjä pääosin käyttää hyväkseen aukkoja mitä on löydetty eikä vielä paikattu, niin kerrosmainen rakenne aiheuttaa sen, että aukkoja pitäisi olla joka kerroksessa ja sellaisen todennäköisyys on pieni ja pienenee joka kerroksella.
 
J

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
jussi_j kirjoitti:
Siksihän noudatetaan sipulimaista eli kerrosrakennetta. Kun hyökkääjä pääosin käyttää hyväkseen aukkoja mitä on löydetty eikä vielä paikattu, niin kerrosmainen rakenne aiheuttaa sen, että aukkoja pitäisi olla joka kerroksessa ja sellaisen todennäköisyys on pieni ja pienenee joka kerroksella.
Laajenna klikkaamalla
Juuri näin. Tässä casessa sinänsä tietoturvan osalta oli tuokin ilmeisesti kunnossa (eli alkuperäisellä murtautumistasolla ei nähty kuin osa dokumentteja), mutta murtautuja oli sisäänpääsyn jälkeen onnistunut korottamaan itsensä järjestelmävalvojatasolle, jonka jälkeen sai pääsyn kaikkiin tiedostoihin. Tämänkin jälkeen tosiaan murtautuja ei ollut saanut kuin dokumentteja haltuunsa, joissa ymmärtääkseni on ollut henkilötietojen lisäksi vain vähäisesti sensitiivistä tietoa. Tämä tietysti ei lohduta niitä, joiden sensitiivisiä tietoja järjestelmässä oli, mutta rajaus toimi ilmeisesti ainakin tässä kohdassa jossain määrin.
 
M

Mediakuutio

Jäsen
JZZ kirjoitti:
Juuri näin. Tässä casessa sinänsä tietoturvan osalta oli tuokin ilmeisesti kunnossa (eli alkuperäisellä murtautumistasolla ei nähty kuin osa dokumentteja), mutta murtautuja oli sisäänpääsyn jälkeen onnistunut korottamaan itsensä järjestelmävalvojatasolle, jonka jälkeen sai pääsyn kaikkiin tiedostoihin. Tämänkin jälkeen tosiaan murtautuja ei ollut saanut kuin dokumentteja haltuunsa, joissa ymmärtääkseni on ollut henkilötietojen lisäksi vain vähäisesti sensitiivistä tietoa. Tämä tietysti ei lohduta niitä, joiden sensitiivisiä tietoja järjestelmässä oli, mutta rajaus toimi ilmeisesti ainakin tässä kohdassa jossain määrin.
Laajenna klikkaamalla
Tässä tapauksessahan tuo tietoturva on kyllä hoidettu surkeasti. Tekijä pääsi murtautumiskohteessa kaikkeen käsiksi.

Yksi iso ongelma taitaa olla se, että ei mahda kukaan tietää vielä mitä kaikkea tuolla verkkolevyllä on todellisuudessa ollut, eli ei myöskään tiedetä mitä kaikkea mahdollisesti viety…
 
J

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Mediakuutio kirjoitti:
Tässä tapauksessahan tuo tietoturva on kyllä hoidettu surkeasti. Tekijä pääsi murtautumiskohteessa kaikkeen käsiksi.
Laajenna klikkaamalla
Se, että murtautuja pääsee järjestelmään sisälle ja pystyy korottamaan itsensä pääkäyttäjätasolle, ei välttämättä kerro tietoturvan toteutuksesta mitään. Kuten aiemmin sanoin, ei ole olemassa järjestelmää johon ei pysty murtautumaan, kyse on lähinnä käytössä olevista resursseista.
 
C

Cobol

Jäsen
Suosikkijoukkue
Suomalainen jääkiekko
Mediakuutio kirjoitti:
Tässä tapauksessahan tuo tietoturva on kyllä hoidettu surkeasti.
Laajenna klikkaamalla

Ehdottomasti. Tietoturvakoulutus ja saadun tietoturvakoulutuksen yksityiskohtainen noudattaminen on ollut todennäköisesti retuperällä. Arkaluonteista tietoa on säilytetty liian kauan verkkolevyllä. Murto tehtiin kaupungin mukaan hyödyntäen etäyhteyspalvelimen haavoittuvuutta. Todennäköisesti joko päivitys tai useampi on tekemättä tai yksittäinen käyttäjä on avannut portin saatuaan huijausviestin/huijaussoiton. Ei onneksi ole mahdollista mm. Kelan palvelimiin tai moneen muuhunkaan.
 
M

Mediakuutio

Jäsen
JZZ kirjoitti:
Se, että murtautuja pääsee järjestelmään sisälle ja pystyy korottamaan itsensä pääkäyttäjätasolle, ei välttämättä kerro tietoturvan toteutuksesta mitään. Kuten aiemmin sanoin, ei ole olemassa järjestelmää johon ei pysty murtautumaan, kyse on lähinnä käytössä olevista resursseista.
Laajenna klikkaamalla
Totta kai kaikkialle pystyy teoriassa murtautumaan mutta ei sitä minään automaattisena selityksenäkään voi pitää. Siellä on ensinnäkin säilytetty tietoja miten sattuu ja kaupunki on itsekin pitänyt tietosuojan tasoa huonona jo vuosia. Lisäksi esimerkiksi palvelimien ylläpito on ollut puutteellista, kuten muutkin käytännöt.

Lisäksi myös esimerkiksi verkkolevyn tietojenkin käyttöä voi lokittaa joten ei tarvitsisi arvailla mitä mennyt mihinkin…

www.tivi.fi

Helsingin digijohtaja myöntää tietoturvassa olleen puutteita – ”eivät olleet ajan tasalla”

Helsingin kaupungin verkkojärjestelmä on ympärivuorokautisessa tarkkailussa tietomurron takia, kertoo Helsingin kaupungin digitalisaatiojohtaja.
www.tivi.fi www.tivi.fi
 
Viimeksi muokattu:
S

Sanainen arkku

Jäsen
Suosikkijoukkue
Reilu peli ja Putinin vastaisuus
Aina välillä sitä miettii, että pitäisikö lopettaa kaukana töissä käyminen kun naapurissakin olisi töitä. Onneksi näitä varoituksia tulee riittävän usein, niin osaa olla varuillaan. Milloin palkanmaksu kusee, milloin tiedot vuotavat rosvojen kauppatavaraksi.

Suomen suurin työnantaja. Erittäin heikkoa tekemistä.
 
Kirjaudu sisään, jos haluat vastata ketjuun. Jos sinulla ei ole vielä käyttäjätunnusta, rekisteröidy nyt! Kirjaudu / Rekisteröidy

Verkkolehden uusimmat jutut

Ylös