Vastaamon tietomurto

[Morgoth]

En tiedä onko Vastaamo ainoa heikosti potilastiedon suojannut taho, mutta epäilen, että niitä löytyy lisää. Kukaan ei valvo sen jälkeen kun toiminta hyväksytään. Mitään tarkistuksia ei tehdä. Ehkä olisi aika laittaa hieman rahaa siihenkin, että yksityisten ja julkisten tahojen potilastietokantojen suojaus tarkistetaan.

Jos muistelee miten nämä espericaret sun muut hoitivat potilaitaan niin hyvin vaikea uskoa, että nämä sijoittaisivat rahaa myöskään asianmukaisiin it-järjestelmiin.

Vastaamo tiedotti tietomurrosta vasta lähes kuukausi rikosilmoituksen jälkeen - ohjeistus pollisilta (IS)

Mikäli kiristäjä ei ole tehnyt virheitä tämän jälkeen, kun julkisti asian niin mahtaakohan jäädä kiinni. Asiaanhan tutkittu ainakin kuukausi jo? Ilmeisesti vastaamo itse ei edes huomannut tietomurtoa ennen kuin kiristäjä otti yhteyttä?

 

[npc]

Itseäni ihmetyttää ketä ylipäätään kiinostaa toisten ihmisten terapiatiedot. Ymmärän että tietojen vuotaminen aiheuttaa ahdistusta, mutta oikeastiko joku pimessä netissä jaksaa lueskella random heppujen tietoja läpi. Mikään ei muutekaan takaa, että maksaminen estää julkaisun, joten omasta mielestäni maksaminen on aika kyseenalaista.

Ei ketaan mattia kiinnosta maijan tiedot. Mutta tuolla kenties on poliitikkoja, julkkiksia sun muita ja liuta lapsia joista joskus voi tulla tuollaisia. Ja vaikka skandaalilehdet pidattaytyisivatkin julkaisemasta naita niin kiinnostavimmat yksityiskohdat jotain kautta leviaa joka tapauksessa ilmoille.

 

[ZayWest]

Todella kuvottava tapaus. Täytyy toivoa, että uhrit eivät nyt menisi antamaan periksi kiristäjille ja maksamaan vaadittavia rahoja, niin nämä rikolliset eivät saisi taloudellista hyötyä rikoksestaan. Näin nämä keissit vältetään tulevaisuudessa myös paremmin, jos ei ole selvää taloudellista insentiiviä lähteä hakkerointi- ja kiristyspuuhiin.

Ja tällaiset kiristykset tuskin päättyvät niin että siirretään massia ja saadaan tiedot takaisin. Eli toivottavasti kukaan ei luota mihinkään yksiyhteen-diiliin.

Tämän levelin mulkut tietävät riskit ja myös nykyteknologian. Jos saa massit, hyvä heille. Varmasti kuitenkin tajuavat että parempi tehdä maksimaalinen tuho ennen omaa virhettä.

 

[Rainer Zufall]

Yksi sukulainen ja yksi kaveri ovat myöskin saaneet kiristysviestit. Kumpikin sanoo, ettei potilastiedoissa ole mitään kauhean arkaluonteista, mutta identiteettivarkaus ja siihen liittyvä säätö on suurin vaiva ja huoli. Hyvä niin, mutta monella muulla on varmasti hätä päällä.

Jos Vastaamossa on jäljellä yhtään häpyä tai munaa, niin se avaa mahdolisimman pian ILMAISEN palvelupuhelimen, johon tietovuodon uhrit voivat soittaa ja purkaa sydäntään. Veikkaan nimittäin, että käyntejä on peruuteltu aika rapsakkaan tahtiin, joten aikaa luulisi riittävän puhelinkonsultaatioon.

 

[ZayWest]

@markusst Tosiaan tuo skenaariosi lienee todennäköisin ja Vastaamon tulisi olla jo kovan moukaroinnin alaisena. He eivät ole mitään uhreja tässä.

Sen verran vain armoa että virkavallan työtä ei vaikeuteta ja riskeerata.

 

[npc]

Taitaa olla tällaisten kiristysjuttujen peruskauraa, että luvataan poistaa tiedot jos maksaa.
Tietenkään mitään takeita tietojen poistamisesta ei ole vaan puliveivaaminen voi jatkua hamaan tulevaisuuteen.
Pahin rangaistus kiinni jääville on kaikkien mahdollisten nettiyhteyksien torppaaminen niin pitkäksi aikaa kun linnassa istuvat.

No vaikka yksi kiristaja luvatusti poistaisikin niin mika estaa kopioijien kiristaa uudestaan kun ne parikolmesataa tietoa on jo ollut nahtavilla. Edelleenkaan tiedot ei maijaa & mattia kiinnosta, mutta kai joku rahapulassa voi uhkailla yksilollisemminkin. Hirvee tilanne, mutta ei kai tuossa muuta voi tehda kuin olla maksamatta. Tosin tuo paskaterapiafirma olisi voinut alunperin maksaa tuon summan ennen tuulettimeen osumista. Nokiakin maksoi lunnaat mukisematta.

 

[Artyukhin]

Hieman on firman tietoturva ollut viturallaan, kun root ja root tiedoilla pääsi sisään.

 

[theZ]

Ei ketaan mattia kiinnosta maijan tiedot. Mutta tuolla kenties on poliitikkoja, julkkiksia sun muita ja liuta lapsia joista joskus voi tulla tuollaisia. Ja vaikka skandaalilehdet pidattaytyisivatkin julkaisemasta naita niin kiinnostavimmat yksityiskohdat jotain kautta leviaa joka tapauksessa ilmoille.

Tietokanta oli näiden hetujen, puhelinnumeroiden, osoitetietojen ja muiden lisäksi täynnä hyvin arkaluontoista materiaalia yksittäisistä asiakkaista. "Mattia" tuskin kiinnostaa lukea että "maijalla" on ollut vähän stressiä, määrätään unettomuuteen 25mg ketipinoria. Sen sijaan ihmisten huumeidenkäyttö, yksityiskohtaiset pettämiskertomukset ja "asiakkaalla ei tee mieli harrastaa seksiä aviomiehensä kanssa, pitää hänen kroppaansa rumana ja tapaa ehdotella seksiä kuvottavana" (sisällöltään lähes sanatarkka kuvaus)-tyyliset kommentit ja niiden paljastuminen varmasti voi ahdistaa ja tuottaa hankaluuksia monelle.

En ymmärrä miksi ihmeessä lunnaita ei maksettu etenkin jos summa (450k) oli noin pieni. Nyt on paska tuulettimessa kunnolla ja mainehaitat yksinään tulevat olemaan sitä luokkaa että saattaapi harmittaa muitakin kuin henkilöitä joiden tiedot ovat levinneet.

 

[Dev]

Tällainen on ihan perseestä ja hirveä tilanne noille ihmisille. Itse joutunut myös useaan otteeseen identiteettivarkauden uhriksi tietovuodon takia ja on kyllä suoranaista helvettiä tuo kaiken selvittely ja sitä alkaa pelkäämään joka helvetin postiluukun kilahdusta, kun tulee 1000€ laskuja toinen toisensa jälkeen.

 

[UnenNukkuja]

Mieli Ry, SPR ja muut ovat toivottavasti nyt matalalla kynnyksellä tehokkaita. Arvostusta vapaaehtoisille.

Somen ylläpitäjiä oikeasti hieman säälin, kun homma menee tälle tasolle: ”mikä on Vastaamo, sain oudon sähköpostin, olenko vaarassa?” Kunhan samat ei poliisia kuormittaisi.

 

[npc]

Tietokanta oli näiden hetujen, puhelinnumeroiden, osoitetietojen ja muiden lisäksi täynnä hyvin arkaluontoista materiaalia yksittäisistä asiakkaista. "Mattia" tuskin kiinnostaa lukea että "maijalla" on ollut vähän stressiä, määrätään unettomuuteen 25mg ketipinoria. Sen sijaan ihmisten huumeidenkäyttö, yksityiskohtaiset pettämiskertomukset ja "asiakkaalla ei tee mieli harrastaa seksiä aviomiehensä kanssa, pitää hänen kroppaansa rumana ja tapaa ehdotella seksiä kuvottavana" (sisällöltään lähes sanatarkka kuvaus)-tyyliset kommentit ja niiden paljastuminen varmasti voi ahdistaa ja tuottaa hankaluuksia monelle.

En ymmärrä miksi ihmeessä lunnaita ei maksettu etenkin jos summa (450k) oli noin pieni. Nyt on paska tuulettimessa kunnolla ja mainehaitat yksinään tulevat olemaan sitä luokkaa että saattaapi harmittaa muitakin kuin henkilöitä joiden tiedot ovat levinneet.

Lainasin tuossa yhta kirjoittajaa ja otin kantaa hanen sanomaan. Tottakai tama on hirveeta asianomaisille. Helsingin mattia ei kuitenkaan kiinnosta hameenlinnan maijan asiat ellei tama ole jostain tunnettu. Maijan nakokulmasta tilanne on hirvea.

Tallaissa tapauksissa pitaisi maksaa kiltisti ne lunnaat (sen firman) ja korjata asiat ettei jatkossa nain kay.

 

[Jakke76]

On kyllä perseestä moinen. Aika paljon on ohjeistusta onneksi tullut, mitä kannattaa nyt tehdä, jos on uhriksi joutunut. Toivottavasti syyllisen löytyy ja Vastaamokin joutuu tästä vastuuseen. Ei voi olla noin heikoilla kantimilla tietoturva.

 

[Cobol]

Jos muistelee miten nämä espericaret sun muut hoitivat potilaitaan niin hyvin vaikea uskoa, että nämä sijoittaisivat rahaa myöskään asianmukaisiin it-järjestelmiin.

Hyvin pienestä osasta tiedän, että on tehty vähintäänkin asianmukaisesti. Toivottavasti tämän jälkeen tehdään tiukemmat säännöt.

Tallaisssa tapauksissa pitaisi maksaa kiltisti ne lunnaat (sen firman) ja korjata asiat ettei jatkossa nain kay.

Lunnaiden maksaminen ei välttämättä muuta tilanneta. Julkistamalla potilastietoja voi saada lunnaiden jälkeen enemmän. Ja vaikka ei saisikaan, piittaamattomuuta voi hyödyntää jatkossa, jos jatkaa vastaavia rikoksia.

Lisäksi jos taustalla on jokin ulkomainen ryhmä, tavoite saattaa olla muualla kuin taloudellisessa hyödyssä. Luottamuksen rikkomisessa ylipäätään. Tai taustalla saattaa olla painostus, jonka takia tutkintaa on tehty hiljaa kuukauden päivät. Jokin ulkomainen ryhmä haluaa viestiä jotain.

 

[Petri1981]

Tietokanta oli näiden hetujen, puhelinnumeroiden, osoitetietojen ja muiden lisäksi täynnä hyvin arkaluontoista materiaalia yksittäisistä asiakkaista. "Mattia" tuskin kiinnostaa lukea että "maijalla" on ollut vähän stressiä, määrätään unettomuuteen 25mg ketipinoria. Sen sijaan ihmisten huumeidenkäyttö, yksityiskohtaiset pettämiskertomukset ja "asiakkaalla ei tee mieli harrastaa seksiä aviomiehensä kanssa, pitää hänen kroppaansa rumana ja tapaa ehdotella seksiä kuvottavana" (sisällöltään lähes sanatarkka kuvaus)-tyyliset kommentit ja niiden paljastuminen varmasti voi ahdistaa ja tuottaa hankaluuksia monelle.

En ymmärrä miksi ihmeessä lunnaita ei maksettu etenkin jos summa (450k) oli noin pieni. Nyt on paska tuulettimessa kunnolla ja mainehaitat yksinään tulevat olemaan sitä luokkaa että saattaapi harmittaa muitakin kuin henkilöitä joiden tiedot ovat levinneet.

Kyllähän tässä nyt tietynlainen digitaalisen ”dystopia-yhteiskunnan” kauhukuva pahimmasta päästä on käynyt toteen. Juuri kun kyseessä on ihmisten arkaluonteisimmat asiat, mistä ei usein kenellekään muulle uskalleta uskoutua; ei vaimolle eikä vanhemmille, vain kuin sille psykiatrille, ja usein sinne psykiatrillekin menoon on kerätty rohkeutta vuosia tai jopa vuosikymmeniä, niin on tilanne monien uhrien kannalta lievästi sanottuna järkyttävä.
Kansainvälisistä medioista mm. Washington Postista luin, että tämän ”alan” tietomurroista tämä on maailmanlaajuisesti kaikkien aikojen suurin ja vakavin. Floridassa ilmeisesti ollut jollain lailla joku samankaltainen tapaus, mutta siltikään ei mitään verrattuna tähän case-vastaamoon. Suomi on taas maailmankartalla.

 

[knttrtknkn1]

Miten paska tietoturva tuolla Vastaamolla oikein on? Maksavatko asiakkaille korvauksia?

Yleensähän se tietoturvan paskuus on yhtä kuin yhden työntekijän huolimattomuus. Availlaan epäilyttäviä sposteja ja niissä olevia linkkejä tms. Tyritään ihan fyysisesti jättämällä kone auki työpisteelle tjms.

Ilmeisesti tässä kyseisessä tapauksessa ihan vaan suojaus on ollut vaan ihan jäte osastoa.

Ainakin omaan silmään vaikutti että kiristyskirjeet oli kirjoitettu niin hyvällä suomenkielellä ettei ulkomaalainen olisi pystynyt moiseen. Joten ainakin oma veikkaus on että ihan kotimainen olisi tämä kiristäjä. Suomenkieli on sen verran paskamausen hankala ulkomaalaiselle kirjoittaa että sen melkein huomaa ettei ole ihan perus suomalainen.

 

[Turha Kaukalo]

Mitähän mä silloin 2 vuotta sitten sille Vastaamon eukolle olen sanonut? Kyse oli lääkityksestä ja toivoin niihin vähän sihtiä, ja sitä saatiinkiin muttei Vastaamosta. En olisi suositellut silloin enkä suosittele nytkään Vastaamoa. Jos löydätte jostain selitystä että "Turha Kaukalo on miettinyt että onko lääkitys nyt ihan ajantasalla" niin se olin minä. Tietenkin julkisista neuvottiin, että jos haluatte homman heti kuntoon niin menkää yksityiselle älkääkä jääkö tänne jonottamaan. Nooh näinpä tein. Näinpä näin. Ai niin, suosittelen Mehiläistä.

 

[Barcelona]

Tässä on YLE:n juttu siitä minkälaisia asioita siellä on kirjattu.

Mitä terapiakäynneistä kirjataan, entä mitä ei saa kirjata? Psykoterapeutit vastaavat viiteen ydinkysymykseen

Terapeuteilla on velvoite tehdä käyntikirjaukset, se on myös asiakkaan etu. Kuitenkaan kaikkea tämän kertomaa ei kirjata.

yle.fi

Mutta pahimassa tapauksessa joku kiristyksen uhreista ei kestä sitä ajatusta siitä että omat ongelmat tulee julki. Siinä voi pahimassa tapauksessa sitten ajatua todella synkiin ajatuksiin ja tekoihin. Siinä on sitten kiristäjillä verta käsissään jos näin käy.

 

[npc]

Lunnaiden maksaminen ei välttämättä muuta tilanneta. Julkistamalla potilastietoja voi saada lunnaiden jälkeen enemmän. Ja vaikka ei saisikaan, piittaamattomuuta voi hyödyntää jatkossa, jos jatkaa vastaavia rikoksia.

Ymmarsinkohan nyt oikein mita tarkoitat? Tietysti emme voi tietaa mita tassa kahden vuoden aikana on kulisseissa tapahtunut ja onko jo kiristajille kenties maksettu, mutta jonnet aloittivatkin uuden kierroksen? Ei voi tietaa ja tata tuskin meille ikina kerrotaankaan.

Mutta jos tilanne on mennyt kuten on uutisoitu, eli etta tama Vastaamo olisi saanut tiedon kaksi vuotta vanhasta tietovuodosta vasta nyt ja eivat ole suostuneet joko itse tai poliisin neuvosta maksamaan lunnaita niin mina itse ainakin ajattelen etta puolimiljoonaa olisi ollut hyva oppiraha kommahdyksesta ja kukaan ei olisi kymmeneen vuoteen saanut tasta tietaa. Kuten siina Nokian keississa. Firma voisi porskuttaa eika mitaan tahraa kyljessa.

Nyt kun annettiin edes ensimmaisten sadan tiedon tulla julki niin siella on kaikki jonnet kiristamassa hameenlinnanmaijaa kun nakevat feisbookkaverinsa.

 

[aalto]

Onneksi jengi on varsin yksimielisesti sitä mieltä, että noita tietoja ei pidä levitellä vaikka niitä johonkin päätyisi. Mutta samaan aikaa ei tarvita kuin muutama oman elämänsä Karpo, joka haalii tiedot itselleen ja odottaa tilaisuutta kiristää tai nöyryyttää sopivaa uhria vaikka vuosien päästä. Nytkin somessa eräs syvän pään Panu pohtii poliitikkojen tietojen julkaisemista. Onhan se avoimuutta...
Oma juttunsa on sitten identiteetti varkaudet. Toivottavasti sotu-uudistus kaivetaan naftaliinista.

 

[ernestipotsi]

Mutta jos tilanne on mennyt kuten on uutisoitu, eli etta tama Vastaamo olisi saanut tiedon kaksi vuotta vanhasta tietovuodosta vasta nyt ja eivat ole suostuneet joko itse tai poliisin neuvosta maksamaan lunnaita niin mina itse ainakin ajattelen etta puolimiljoonaa olisi ollut hyva oppiraha kommahdyksesta ja kukaan ei olisi kymmeneen vuoteen saanut tasta tietaa. Kuten siina Nokian keississa. Firma voisi porskuttaa eika mitaan tahraa kyljessa.

Jos olisin kiristäjä ja joku hölmö maksaisi pyydettäessä 450k niin vaatisin viikon päästä miljoonaa tai kahta.

 

[BigRedCat]

Uhrien tilanteesta on sanottu edellä jo aiheellinen. Voi vain kuvitella mitä tuo tekee valmiiksi hauraalle mielelle kun se monelle ainoa turvallinen paikka kertoa asioita luottamuksellisesti osoittautuukin aivan turvattomaksi.

Todellinen rikos on Vastaamon toiminta tietoturvan suhteen. Samoin Vastaamon palveluita käyttäneiden julkisten tahojen auditoinnin puuttuminen. Jos tuosta perseilystä ei joku joudu vankilaan, on ihan turha huudella minkään yritysten yhteiskuntavastuun perään muutenkaan.

 

[Cobol]

Ymmarsinkohan nyt oikein mita tarkoitat? Tietysti emme voi tietaa mita tassa kahden vuoden aikana on kulisseissa tapahtunut ja onko jo kiristajille kenties maksettu, mutta jonnet aloittivatkin uuden kierroksen? Ei voi tietaa ja tata tuskin meille ikina kerrotaankaan.

Enpä tuota tarkoita. Vaan sitä, mistä @ernestipotsi yllä kirjoitti.

 

[Cloaca Maxima]

Eihän poliisikaan ihan kaikkia tietoja kerro julkisuuteen, mutta onhan se huolestuttavaa että ovat asiaa tutkineet jo kuukauden ja tekijästä ei ole ainakaan julkilausuntojen perusteella hajuakaan. Toki paska alkoi osua tuulettimeen toden teolla vasta nyt.

Mihin perustuvat nämä väitteet heikoista salasanoista yms. Vastaamon osalta? Itse en ainakaan uutisissa tuollaisia mainintoja nähnyt. Eli onko nämä tiedot ihan puhdasta spekulaatiota?

 

[Cobol]

Mihin perustuvat nämä väitteet heikoista salasanoista yms. Vastaamon osalta? Itse en ainakaan uutisissa tuollaisia mainintoja nähnyt. Eli onko nämä tiedot ihan puhdasta spekulaatiota?

Eivät ole spekulaatiota, vaan materiaaliin tutustuneiden ammattilaisten näkemys. Esim F-Securen tietoturvajohtaja Erka Koivunen Maikkarilla.

Todellinen rikos on Vastaamon toiminta tietoturvan suhteen. Samoin Vastaamon palveluita käyttäneiden julkisten tahojen auditoinnin puuttuminen. Jos tuosta perseilystä ei joku joudu vankilaan, on ihan turha huudella minkään yritysten yhteiskuntavastuun perään muutenkaan.

Tämä on asia, jota selvitetään ja tehdään jatkossa toivottavasti muutoksia. Julkinen puoli arvatakseni ei ota nykyisen lain aikana osumaa rangaistusten osalta.

 

[Morgoth]

Mihin perustuvat nämä väitteet heikoista salasanoista yms. Vastaamon osalta? Itse en ainakaan uutisissa tuollaisia mainintoja nähnyt. Eli onko nämä tiedot ihan puhdasta spekulaatiota?

Itse kiristäjä oli ainakin tor-verkossa kertonut "root:root". F-Secure Erka Koivunenkin kertoo samanlaista MTVn uutisessa. Toki en tiedä mihin hän on tietonsa perustanut, mutta jonkinlaista tietoa lienee. Eihän teknisiä yksityiskohtia varmaan ikinä tulla julkisuudessa avamaan.

Oliko se tietoturva ihan vitun pielessä vai vain pielessä selviää joskus, mutta ei se ainakaan kunnossakaan ole ollut.