Mainos

Helsingin kaupungin tietomurto

  • 3 771
  • 23

"TIETOMURRON kohteena on noin 150 000 oppijaa ja heidän huoltajansa sekä kaikki kaupungin noin 38 000 työntekijää.


Murretulla verkkolevyllä on säilytetty henkilötunnuksia, osoitteita ja tietoja äidinkielestä, kansalaisuudesta ja uskontokunnasta.


Kaupungin omien päiväkotien, koulujen ja oppilaitosten lisäksi tietomurron tekijä on saanut asiakastietoja mahdollisesti muista päiväkodeista ja kouluista.



Näihin lukeutuvat yksityiset päiväkodit, helsinkiläiset sopimuskoulut, yksityiset ja valtion koulut sekä yksityiset lukiot ja ammattioppilaitokset."

Taitaa kohta olla aika tehdä henkilötunnukset täysin hyödyttömiksi, sillä kohta ei kovin montaa suomalaista löydy, jonka tiedot eivät ole vuotaneet jossain tietomurrossa.
 

Baldrick

Jäsen
Suosikkijoukkue
Pimeä Aitio
Nykyisenä vahvan tunnistautumisen aikana ei liene mahdottoman dramaattista, vaikka nimi, hetu ja osoite onkin jonkun käsissä. Tai no jaa, kyllähän noilla tiedoilla puhelimitse pystyy kaikkea keljua tekemään, mutta melko työlästä ja riskialtista hommaa sekin rajallisilla taloudellisilla hyödyillä.

Sinne meni meidänkin perheen tiedot nimittäin. Toki ipanat niin pieniä, että mitään arkaluontoista ei sieltä löydy, pl. nuo perustiedot.
 

Jymäkkä

Jäsen
Suosikkijoukkue
HIFK, NY Rangers, Ketterä, Saksa (futis), IPV
Nykyisenä vahvan tunnistautumisen aikana ei liene mahdottoman dramaattista, vaikka nimi, hetu ja osoite onkin jonkun käsissä. Tai no jaa, kyllähän noilla tiedoilla puhelimitse pystyy kaikkea keljua tekemään, mutta melko työlästä ja riskialtista hommaa sekin rajallisilla taloudellisilla hyödyillä.

Sinne meni meidänkin perheen tiedot nimittäin. Toki ipanat niin pieniä, että mitään arkaluontoista ei sieltä löydy, pl. nuo perustiedot.
Mä nyt varotoimena tein vapaaehtoisen luottokiellon, sekä kiellot myös osoitteen muutokselle ja rekisteröinneille(yhdistystyksiin ja yritysten omistajiin/hallituksiin). En tiedä miten tarkkaan noita syynätään kaikkien papereissa olevien nimien osalta, jos tietoja noin väärinkäytettäisiiin. Näin on yritetty saada identiteettivarkauksien uhreja vastuullisiksi muiden tekemistä veloista mm.

Jossain vaiheessahan noitakin joutuu sitten purkamaan, jos itse tarvitsee vaikka luottoa ottaa, ja vaikea sanoa mikä se aikajänne on, että vaara on päällä. Yksi työkaveri joutui tähän kurimukseen aikanaan. Ihan eri keissi siis, vuokralainen nyysi tiedot vuokrasopimuksesta(nimi, hetu ja osoitetiedot), ja se oli vuosien piina, kun tämä huijari tuhosi luottotietonsa, ja hetun "nollaaminen" ei käynyt ihan hetkessä.
 
Viimeksi muokattu:

mjr

Jäsen
Suosikkijoukkue
Suomen maajoukkueet
Nykyisenä vahvan tunnistautumisen aikana ei liene mahdottoman dramaattista, vaikka nimi, hetu ja osoite onkin jonkun käsissä. Tai no jaa, kyllähän noilla tiedoilla puhelimitse pystyy kaikkea keljua tekemään, mutta melko työlästä ja riskialtista hommaa sekin rajallisilla taloudellisilla hyödyillä.

Sinne meni meidänkin perheen tiedot nimittäin. Toki ipanat niin pieniä, että mitään arkaluontoista ei sieltä löydy, pl. nuo perustiedot.
Minun sukulaiseltani varastettiin taannoin lompakko, jossa oli ajokortti, ja kaikenlaista kiusaa sillä pelkällä henkilötunnuksella ehdittiin lyhyessä ajassa tehdä, käsittämätöntä kyllä.
 

rpeez

Jäsen
Mä nyt varotoimena tein vapaaehtoisen luottokiellon, sekä kiellot myös osoitteen muutokselle ja rekisteröinneille(yhdistystyksiin ja yritysten omistajiin/hallituksiin). En tiedä miten tarkkaan noita syynätään kaikkien papereissa olevien nimien osalta, jos tietoja noin väärinkäytettäisiiin. Näin on yritetty saada identiteettivarkauksien uhreja vastuullisiksi muiden tekemistä veloista mm.

Jossain vaiheessahan noitakin joutuu sitten purkamaan, jos itse tarvitsee vaikka luottoa ottaa, ja vaikea sanoa mikä se aikajänne on, että vaara on päällä. Yksi työkaveri joutui tähän kurimukseen aikanaan. Ihan eri keissi siis, vuokralainen nyysi tiedot vuokrasopimuksesta(nimi, hetu ja osoitetiedot), ja se oli vuosien piina, kun tämä huijari tuhosi luottotietonsa, ja hetun "nollaaminen" ei käynyt ihan hetkessä.
Tuo rekisteröinti on varmaan se PRH:lle tehty ilmoitus, jonka itsekin tein muutama vuosi sitten ettei löydä itseään jostain kupruyhtiön hallituksesta ;-). Jäi jotenkin kuva, että aika helpoilla lähtötiedoilla pystyi sen kiellon silloin tekemään.

Tuosta luottokiellosta, pitäisi varmaan tehdä myös vaikken Helsinkin tapauksessa mukana olekaan, mutta vaikuttaako se myös mahdollisesti niin että Visa kortin credit puolen käytölle tulee ongelmia?
Vero.fi:ssa näyttäisi olevan ilmainen versio luottokiellolle, linkki vie infoon.
 

Jymäkkä

Jäsen
Suosikkijoukkue
HIFK, NY Rangers, Ketterä, Saksa (futis), IPV
Tuo rekisteröinti on varmaan se PRH:lle tehty ilmoitus, jonka itsekin tein muutama vuosi sitten ettei löydä itseään jostain kupruyhtiön hallituksesta ;-). Jäi jotenkin kuva, että aika helpoilla lähtötiedoilla pystyi sen kiellon silloin tekemään.

Tuosta luottokiellosta, pitäisi varmaan tehdä myös vaikken Helsinkin tapauksessa mukana olekaan, mutta vaikuttaako se myös mahdollisesti niin että Visa kortin credit puolen käytölle tulee ongelmia?
Vero.fi:ssa näyttäisi olevan ilmainen versio luottokiellolle, linkki vie infoon.
Ei vaikuta käytössä olevien korttien käyttöön tai luottorajoihin, vain uusiin sopimuksiin. Luottorajan korotus jo estynee, joskin tuonkin saa kai pankin kanssa hoidettua sitten esittämällä todistuksen vapaaehtoisesta kiellosta.

Ja juu, juurikin tuonne PRH:lle tein itsekin.
 

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Pitkä listahan noita asioita on, jotka pelkällä henkilötunnuksella saa tehtyä. Esimerkiksi: Postissa pystyy tekemään osoitteenmuutoksen pelkästään henkilötunnuksella. Sen jälkeen Klarnalla voi ostaa velaksi tavaraa pelkällä henkilötunnuksella. Vaihdat ensin osoitteen johonkin poste restanteen, sen jälkeen tilaat Klarnalla niin paljon kuin ikinä pystyt, haet tavarat ja myyt ne.

On jotenkin erikoista, että tällaisia varmistamattomia, pelkkään henkilötunnukseen perustuvia palveluita enää tarvittaisiin muuta kuin ihan yksittäisiä erityistapauksia varten, jotka kuvittelisi voivan jo vaatia toimittamaan ihan henkilökohtaisesti. Tuo Klarnan oikeus myydä tavaraa ilman, että varmistetaan käyttäjän henkilöllisyys on taas aivan käsittämätön vastuun siirto ja on käsittämätöntä, miten oikeusvaltiossa on tuollainen koskaan hyväksytty. Siinä missä esim luottokorttipetokset defaulttina korvataan asiakkaalle, Klarna lähtökohtaisesti loppuun asti väistää vastuutaan ja luottotappiot maksatetaan rikoksen uhrilla. Kai meidän mielestä sitten on vaan niin tärkeää saada myydä kiinaroskaa halvalla ilman yhtään ylimääräistä varmistussteppiä, että käytännössä kuka vaan joka tietää toisen henkilötunnuksen voi sarjatehtailla petoksia.
 
Suosikkijoukkue
Ei merkittävän kaupungin pallokerho
Postissa pystyy tekemään osoitteenmuutoksen pelkästään henkilötunnuksella. Sen jälkeen Klarnalla voi ostaa velaksi tavaraa pelkällä henkilötunnuksella. Vaihdat ensin osoitteen johonkin poste restanteen, sen jälkeen tilaat Klarnalla niin paljon kuin ikinä pystyt, haet tavarat ja myyt ne.

Pystyykö tätä vielä tekemään? Eikö Klarnakin vaadi nykyään vahvaa tunnistautumista verkkopankin kautta? Muistaakseni tuo ainakin viimeksi vaadittiin kun palvelua käytin.
 

alwahla

Jäsen
Suosikkijoukkue
Flames, Canadiens, Kraken, HIFK
Eilen sain soiton kaupungilta, koska olen turvakieltoasiakas ja koska olen opiskelijana iltalukiossa. Mitään uutta hänellä ei ollut sanottavanaan, vaan neuvoi vaan odottamaan sekä seuraamaan kaupungin tiedotusta. Itseäni ei juurikaan huoleta tuo tietomurto, koska yhteystietona ovat salaisia ja koska minulla ei ole luottotietoja. Enemmän minua harmittaa niiden muiden puolesta, jotka ovat oikeasti ottaneet osumaa tässä tapahtumassa.
 

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Pystyykö tätä vielä tekemään? Eikö Klarnakin vaadi nykyään vahvaa tunnistautumista verkkopankin kautta? Muistaakseni tuo ainakin viimeksi vaadittiin kun palvelua käytin.
Klarnan sivuilta ainakin löytyy seuraava teksti:
Kun valitset Klarnan Maksa myöhemmin -palvelun, asiakkaan ei tarvitse muistaa pitkiä ja monimutkaisia pankki- tai korttitietoja.
  • Palaavat asiakkaat tunnistetaan. Henkilötiedot on esitäytetty.
  • Uusien Klarna asiakkaiden on täytettävä vain muutamia henkilötietoja.
Itse en nyt ole tuota testannut, miten toimii, kun en Klarnaa juuri tästä syystä halua suosia tai heille bisnestä luoda. Toki siis muitakin vastaavia toimittajia on kuin Klarna, eli ei nyt ihan pelkästään heitä tässä ole tarkoitus haukkua. Klarna kuitenkin selvästi yleisin.
 

alwahla

Jäsen
Suosikkijoukkue
Flames, Canadiens, Kraken, HIFK

MAKE #89

Jäsen
Suosikkijoukkue
TPS
Itse en näistä tietoturva-asioista paljoakaan tiedä, mutta rehellisesti sanottuna luottamus näiden digitietokantojen salassapysymiseen on aika matala. Ihmeenä pidän jos esim. Kanta-palvelu ei jossain kohtaa joudu vääriin käsiin. Kaiken järjen mukaan nämä pitäisi suojata paremmin kuin pankkiholvit konsanaan, mutta pelkäänpä että aika perustason tietoturvalla mennään. Paljon tärkeämpiinkin tietokantoihin ovat venäläiset ja kiinalaiset hakkeriryhmät murtautuneet, esim. USA:n turvallisuusviranomaisten tiedostoihin. Nyt voi olla Suomenkin kohdalla vähän enemmän tällaista toimintaa kun Venäjä haluaa osoittaa Nato-jäsenyydellä olevan negatiivisia vaikutuksia. Jonkinlaista ryhtiliikettä kuitenkin toivoisi ihan kansallisella tasolla ettei ihan helpoksi tehdä tätä pahantekijöille.

Nykyajan dilemma on että kaikki pitäisi olla digiä ja etänä hoidettavissa, mutta valitettavasti kaikki internetiin kytketty on uhanalaista ja alttiina tietomurroille.
 

Kauniisti sanottuna hakusessa kaupungin käsitys hyvästä tietoturvasta. Hämmentävä ja samalla todella pelottava asia.
Ja yllättäen vastuuta kukaan ei ole taas ottamassa mistään. Kaupungin viestinnästä saa sellaisen kuvan, että he ovat olleet tässä se varsinainen uhri.

Edit. Ja hiukan hämmentävää on myös tuo, että murtautuja on päässyt korottamaan omia käyttöoikeuksiaan. Mihinköhän kaikkeen siellä on lopulta ollut pääsy.
 

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Itse en näistä tietoturva-asioista paljoakaan tiedä, mutta rehellisesti sanottuna luottamus näiden digitietokantojen salassapysymiseen on aika matala. Ihmeenä pidän jos esim. Kanta-palvelu ei jossain kohtaa joudu vääriin käsiin. Kaiken järjen mukaan nämä pitäisi suojata paremmin kuin pankkiholvit konsanaan, mutta pelkäänpä että aika perustason tietoturvalla mennään. Paljon tärkeämpiinkin tietokantoihin ovat venäläiset ja kiinalaiset hakkeriryhmät murtautuneet, esim. USA:n turvallisuusviranomaisten tiedostoihin. Nyt voi olla Suomenkin kohdalla vähän enemmän tällaista toimintaa kun Venäjä haluaa osoittaa Nato-jäsenyydellä olevan negatiivisia vaikutuksia. Jonkinlaista ryhtiliikettä kuitenkin toivoisi ihan kansallisella tasolla ettei ihan helpoksi tehdä tätä pahantekijöille.

Nykyajan dilemma on että kaikki pitäisi olla digiä ja etänä hoidettavissa, mutta valitettavasti kaikki internetiin kytketty on uhanalaista ja alttiina tietomurroille.
Periaatteessahan tietoturva oikein tehtynä parhaimmillaankin voi vain hidastaa järjestelmään murtautumista, rajata murron kautta saatavilla olevan tiedon määrää sekä minimoida murron kautta saadun tiedon haittavaikutuksia. Tavoitteena on saada järjestelmään murtautuminen niin vaikeaksi, että siitä jäisi jälkiä jo heti alkuvaiheessa jolloin tilanteeseen voitaisiin reagoida ja vahingot minimoida ennen kuin hyökkääjä pääsee laajasti syvemmälle järjestelmässä. Tosiasia on, että tietomurron täysin estävää järjestelmää ei ole olemassakaan. Hyökkääjien käytössä olevat resurssit kun voivat olla käytännössä rajattomat, varsinkin esimerksi valtioiden suorittamissa hyökkäyksissä. Ja sitten on toki vielä esimerkiksi laitetason haavoittuvuudet, joille kukaan muu kuin laitevalmistajat (hekin rajallisesti) voivat mitään tehdä.
 

jussi_j

Jäsen
Suosikkijoukkue
Jokerit
Periaatteessahan tietoturva oikein tehtynä parhaimmillaankin voi vain hidastaa järjestelmään murtautumista, rajata murron kautta saatavilla olevan tiedon määrää sekä minimoida murron kautta saadun tiedon haittavaikutuksia. ...
Siksihän noudatetaan sipulimaista eli kerrosrakennetta. Kun hyökkääjä pääosin käyttää hyväkseen aukkoja mitä on löydetty eikä vielä paikattu, niin kerrosmainen rakenne aiheuttaa sen, että aukkoja pitäisi olla joka kerroksessa ja sellaisen todennäköisyys on pieni ja pienenee joka kerroksella.
 

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Siksihän noudatetaan sipulimaista eli kerrosrakennetta. Kun hyökkääjä pääosin käyttää hyväkseen aukkoja mitä on löydetty eikä vielä paikattu, niin kerrosmainen rakenne aiheuttaa sen, että aukkoja pitäisi olla joka kerroksessa ja sellaisen todennäköisyys on pieni ja pienenee joka kerroksella.
Juuri näin. Tässä casessa sinänsä tietoturvan osalta oli tuokin ilmeisesti kunnossa (eli alkuperäisellä murtautumistasolla ei nähty kuin osa dokumentteja), mutta murtautuja oli sisäänpääsyn jälkeen onnistunut korottamaan itsensä järjestelmävalvojatasolle, jonka jälkeen sai pääsyn kaikkiin tiedostoihin. Tämänkin jälkeen tosiaan murtautuja ei ollut saanut kuin dokumentteja haltuunsa, joissa ymmärtääkseni on ollut henkilötietojen lisäksi vain vähäisesti sensitiivistä tietoa. Tämä tietysti ei lohduta niitä, joiden sensitiivisiä tietoja järjestelmässä oli, mutta rajaus toimi ilmeisesti ainakin tässä kohdassa jossain määrin.
 
Juuri näin. Tässä casessa sinänsä tietoturvan osalta oli tuokin ilmeisesti kunnossa (eli alkuperäisellä murtautumistasolla ei nähty kuin osa dokumentteja), mutta murtautuja oli sisäänpääsyn jälkeen onnistunut korottamaan itsensä järjestelmävalvojatasolle, jonka jälkeen sai pääsyn kaikkiin tiedostoihin. Tämänkin jälkeen tosiaan murtautuja ei ollut saanut kuin dokumentteja haltuunsa, joissa ymmärtääkseni on ollut henkilötietojen lisäksi vain vähäisesti sensitiivistä tietoa. Tämä tietysti ei lohduta niitä, joiden sensitiivisiä tietoja järjestelmässä oli, mutta rajaus toimi ilmeisesti ainakin tässä kohdassa jossain määrin.
Tässä tapauksessahan tuo tietoturva on kyllä hoidettu surkeasti. Tekijä pääsi murtautumiskohteessa kaikkeen käsiksi.

Yksi iso ongelma taitaa olla se, että ei mahda kukaan tietää vielä mitä kaikkea tuolla verkkolevyllä on todellisuudessa ollut, eli ei myöskään tiedetä mitä kaikkea mahdollisesti viety…
 

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Tässä tapauksessahan tuo tietoturva on kyllä hoidettu surkeasti. Tekijä pääsi murtautumiskohteessa kaikkeen käsiksi.
Se, että murtautuja pääsee järjestelmään sisälle ja pystyy korottamaan itsensä pääkäyttäjätasolle, ei välttämättä kerro tietoturvan toteutuksesta mitään. Kuten aiemmin sanoin, ei ole olemassa järjestelmää johon ei pysty murtautumaan, kyse on lähinnä käytössä olevista resursseista.
 

Cobol

Jäsen
Suosikkijoukkue
Suomalainen jääkiekko
Tässä tapauksessahan tuo tietoturva on kyllä hoidettu surkeasti.

Ehdottomasti. Tietoturvakoulutus ja saadun tietoturvakoulutuksen yksityiskohtainen noudattaminen on ollut todennäköisesti retuperällä. Arkaluonteista tietoa on säilytetty liian kauan verkkolevyllä. Murto tehtiin kaupungin mukaan hyödyntäen etäyhteyspalvelimen haavoittuvuutta. Todennäköisesti joko päivitys tai useampi on tekemättä tai yksittäinen käyttäjä on avannut portin saatuaan huijausviestin/huijaussoiton. Ei onneksi ole mahdollista mm. Kelan palvelimiin tai moneen muuhunkaan.
 
Se, että murtautuja pääsee järjestelmään sisälle ja pystyy korottamaan itsensä pääkäyttäjätasolle, ei välttämättä kerro tietoturvan toteutuksesta mitään. Kuten aiemmin sanoin, ei ole olemassa järjestelmää johon ei pysty murtautumaan, kyse on lähinnä käytössä olevista resursseista.
Totta kai kaikkialle pystyy teoriassa murtautumaan mutta ei sitä minään automaattisena selityksenäkään voi pitää. Siellä on ensinnäkin säilytetty tietoja miten sattuu ja kaupunki on itsekin pitänyt tietosuojan tasoa huonona jo vuosia. Lisäksi esimerkiksi palvelimien ylläpito on ollut puutteellista, kuten muutkin käytännöt.

Lisäksi myös esimerkiksi verkkolevyn tietojenkin käyttöä voi lokittaa joten ei tarvitsisi arvailla mitä mennyt mihinkin…

 
Viimeksi muokattu:
Suosikkijoukkue
Reilu peli ja Putinin vastaisuus
Aina välillä sitä miettii, että pitäisikö lopettaa kaukana töissä käyminen kun naapurissakin olisi töitä. Onneksi näitä varoituksia tulee riittävän usein, niin osaa olla varuillaan. Milloin palkanmaksu kusee, milloin tiedot vuotavat rosvojen kauppatavaraksi.

Suomen suurin työnantaja. Erittäin heikkoa tekemistä.
 

Luoto

Jäsen

Vähän pienempää tietomurtoa. Mutta kuinkakohan paljon näitä on oikeasti tapahtunut ilman, että niistä ollaan tietoisia?
Kappas, Vantaan entisen apulaispoliisipäällikön poika on edennyt talousjohtajasta toimitusjohtajaksi. Ei vaikuttanut nuorena ruudinkeksijältä, mutta noissa hommissa pärjää kun osaa suhdetoiminnan.
Isästään vaikenen kuin muuri.
 

moelsky

Jäsen
Suosikkijoukkue
JYP

Vähän pienempää tietomurtoa. Mutta kuinkakohan paljon näitä on oikeasti tapahtunut ilman, että niistä ollaan tietoisia?
Samana päivänä tuli Facebookissa vastaan Venäjä aiheinen uutinen, pisti jälleen silmään yksi kirjoittelija joka kovasti taas hehkutti Venäjän huikeasti kasvavaa taloutta yms. puolustelua. Nopeasti kun selasi FB profiilia niin viimeisten seitsemän vuoden aikana aika vahvasti pro-Putin, pro-Putinin Venäjä, anti-EU ja anti-Nato kirjoituksia. Myös Covid vuosilta tätä sakeampaa salaliitto höpinää. Lisäks sitten tätä klassista Suomen historian kieltämistä tai piilottamista (onneksi ei enää sotaveteraaneja jne). Kaverilista täynnä vastaavia hörhöjä (esim. Ossi Tiihonen), seurattuna ja seuraajina myös samaa sakkia (Vapauden Liitto) ja en ihmettelisi jos sieltä löytyisi myös aitoja trollitehtaan tuotoksia joilla oikeasti jotain yhteyksiä Venäjälle.

Kyseinen herra sitten on ihan oikeasti olemassa ja työskentelee teknisenä asiantuntija IT-palveluita tarjoavassa firmassa. Asiakkaina referenssi listan mukaan muun muassa isoja kaupenkeja. Hyvinkin ristialtis tapaus jos miettii. Toki aletaan taas liikkumaan rajoilla että meneekö nyt cancel-hommien puolelle vai ei jos ottaisi yritykseen yhteyttä.
 
Kirjaudu sisään, jos haluat vastata ketjuun. Jos sinulla ei ole vielä käyttäjätunnusta, rekisteröidy nyt! Kirjaudu / Rekisteröidy
Ylös