Vaikkei tähän suoranaisesti liitykään eikä isoa tuhoa saa aikaan, niin huvittaa tuo Mehiläisen lääkäriajanvaraus. Se tehdään edelleen hetulla, luulisi tuon kokoisella firmalla olevan jo käytössä pankkitunnistautuminen tuossa pelkässä ajanvarauksessakin...
Mainos
Verkkolehden uusimmat jutut
-
Ilveksen ja Ässien entinen maalivahti Kristian Antila, 44, on poissaLue lisää »
-
Patrik Laineen paluu NHL-kaukaloihin lähestyy − lupauksia herättävä tieto Canadiens-harjoituksistaLue lisää »
-
Kuumat NHL-väitteet: Ryan Reaves ulos koko liigasta, kuuluuko Patrik Laine Suomen joukkueeseen?Lue lisää »
-
Kiekko-Espoolle ikäviä takaiskuja – Quenneville ja Hämäläinen sivussa useita viikkojaLue lisää »
-
NL-katsaus: Kloten löysi ylivoimatehonsa voittoputkesta, Harri Pesonen sai pelikieltoa ruotsalaisen tähtipelaajan telomisestaLue lisää »
-
Mestis-viikko: Hermes nousi jo kolmanneksi Alex Mäkelän johdolla, IPK ensi kertaa kauden aikana kolmen ottelun tappioputkessaLue lisää »
Vastaamon tietomurto
- Viestiketjun aloittaja finnjewel
- Alkaa
- 78 173
- 426
Vaikkei tähän suoranaisesti liitykään eikä isoa tuhoa saa aikaan, niin huvittaa tuo Mehiläisen lääkäriajanvaraus. Se tehdään edelleen hetulla, luulisi tuon kokoisella firmalla olevan jo käytössä pankkitunnistautuminen tuossa pelkässä ajanvarauksessakin...
Olikos se niin, että Linux-koneissa pitää se vanha salasana erikseen poistaa (tässä tapauksessa root), kun luo uuden tai muuten se vanhakin salasana on edelleen voimassa? Hämärästi sellaista muistelen.
Tietomurron tekijä oli itse kertonut "it was not, the login was root:root". Piruko sitä tietää puhuiko totta vai palturia
Ei mitään peruuttamatonta vahinkoa, mutta paljon pientä kiusaa, jonka ehkäisemiseksi uhrin on nähtävä vaivaa.
Ohessa lyhyt lista, joissa ei tarvita vahvaa tunnistautumista ja joilla voi tehdä kiusaa, paitsi jos uhri on ryhtynyt ennakoiviin toimenpiteisiin:
- Luoton ottaminen, esimerkiksi Klarnan laskurahoitus ei käsittääkseni vaadi kuin HETUn, ei vahvaa tunnistautumista ja palvelu on tarjolla sadoilla ellei tuhansilla nettikaupoilla
- Merkitseminen bulvaaniksi yhtiöön kaupparekisteriin
- Muuttoilmoitus
- Kirkosta eroaminen
Luokitellaanko tuo nyt sitten kiusaksi vai palvelukseksi? *hymiö*
Vanhoissa Linux-versioissa ei ollut rootilla oletuksena salasanaa lainkaan. Sudolla voi vaihtaa voimassa olevan pääkäyttäjäm salasanan ja muistaakseni sen jälkeen ei tarvitse vanhaa salasanaa tappaa erikseen. Itselläni ei ole tällä hetkellä Linuxia palvelinkäytössä, vain työasemassa (Mint), joten en pysty testaamaan.
Ei tarvitse eikä missään vähänkään järkevämmässä systeemissä ole edes salittuna kirjautua suoraan roottina palvelimelle. Eihän tuossa ole mietitty oikeastaan mitään tietoturvan kannalta.Kaiken kruunaa mikäli tuo on ihan oikeasti ollut avoimena internetiin.
Mikäli asiaa on tosiaan ollut noin niin sen palvelimen on taatusti korkannut moni muukin, mutta ovatko sitten olleet kiinnostuneita potilastietokannasta tätä kiristäjää lukuunottamatta. En oikein keksi nopeasti hyvää vertausta reaalimaailmassa, mutta eihän vastaamon johto tätä vastuuta voi millään paeta tai tuo voi olla millään tavalla asiallisesti hoidettu. Kukas tuosta sitten joutuu vastuuseen? Toimari ja yhtiön hallitus lopulta? Sitä en osaa arvioida millaisia tuomiota on mahdollisesta antaa.
Mikäli murto tapahtunut jo 2018 vuonna niin mitä tässä on kaksi vuotta tapahtanut? Ettei vain kiristäminen olisi alkanut jo aikaisemmin ja tässä no jotain muutakin kuin mitä toistaiseksi tullut ilmi? Tuo omistajavaihdos ihan mielenkiintoinen kuvio.
Toki olla sattumaakin.
Teeman ympärillä käydyssä keskustelussa on pari ongelmaa/vinoumaa.
Tässä on kyse paljon suuremmasta ja rankemmasta asiasta kuin siitä, että se ja tämä henkilö on käynyt vastaanotolla ja "on ihan ok käydä psykoterapiassa". Siitä, mitä siellä sisällöissä on - tai mikä kohteen tunne on, mitä siellä on. Mitä kaikkea on kertonut terapiassa läheisistään, itsestään, vaikkapa työpaikan sivusuhteesta, virallisesta parisuhteestaan, sukulaisistaan, lapsuuden hyväksikäyttökokemuksista jne. jne. Siinä tilanteessa on täysin samantekevää, mitä de facto siellä tiedoissa lukee - kaikki tämä voi uhrin näkökulmasta siellä lukea, ja kaikki se pelottaa. Ei se, että "joku saa tietää että kävin terapiassa". Todella rankka, elämään vaikuttava pelko, jota kaikki eivät välttämättä kestä.
Tästä syystä vähän ihmetyttää, että julkikeskustelussa edelleen ollaan lähinnä huolissaan ja ohjeistetaan siitä, jos henkilötunnus tms. on vuotanut. Ne ovat aika lailla sivuseikka tässä uhrien osalta. Samalla ne uhrit, joita on saatu haastatteluun ovat jutuissa huolissaan lähinnä hetusta, koska terapiassa ei heidän kertomansa mukaan ole käsitelty mitään erityistä. Tämä jopa peittää sek keskustelun ihmisistä, jotka ovat nyt piilossa jossain kiven alla ja harkitsevat tämän johdosta jopa elämänsä päättämistä. Eivät he anna edes "nimi muutettu"-haastatteluja Ylelle tai Hesarille.
Tämä on tämän kuvottavan rikoksen suurin juttu. Tietoturvan petraamiseen tämä toivottavasti johtaa, samoin ehkä hetujärjestelmän uusimiseen, GDPR-korvauksiin jne., mutta näiden ihmisten elämän pilaamista ja mahdollista itsemurhaa ne eivät peruuta.
Tässä on kyse paljon suuremmasta ja rankemmasta asiasta kuin siitä, että se ja tämä henkilö on käynyt vastaanotolla ja "on ihan ok käydä psykoterapiassa". Siitä, mitä siellä sisällöissä on - tai mikä kohteen tunne on, mitä siellä on. Mitä kaikkea on kertonut terapiassa läheisistään, itsestään, vaikkapa työpaikan sivusuhteesta, virallisesta parisuhteestaan, sukulaisistaan, lapsuuden hyväksikäyttökokemuksista jne. jne. Siinä tilanteessa on täysin samantekevää, mitä de facto siellä tiedoissa lukee - kaikki tämä voi uhrin näkökulmasta siellä lukea, ja kaikki se pelottaa. Ei se, että "joku saa tietää että kävin terapiassa". Todella rankka, elämään vaikuttava pelko, jota kaikki eivät välttämättä kestä.
Tästä syystä vähän ihmetyttää, että julkikeskustelussa edelleen ollaan lähinnä huolissaan ja ohjeistetaan siitä, jos henkilötunnus tms. on vuotanut. Ne ovat aika lailla sivuseikka tässä uhrien osalta. Samalla ne uhrit, joita on saatu haastatteluun ovat jutuissa huolissaan lähinnä hetusta, koska terapiassa ei heidän kertomansa mukaan ole käsitelty mitään erityistä. Tämä jopa peittää sek keskustelun ihmisistä, jotka ovat nyt piilossa jossain kiven alla ja harkitsevat tämän johdosta jopa elämänsä päättämistä. Eivät he anna edes "nimi muutettu"-haastatteluja Ylelle tai Hesarille.
Tämä on tämän kuvottavan rikoksen suurin juttu. Tietoturvan petraamiseen tämä toivottavasti johtaa, samoin ehkä hetujärjestelmän uusimiseen, GDPR-korvauksiin jne., mutta näiden ihmisten elämän pilaamista ja mahdollista itsemurhaa ne eivät peruuta.
Linukoissa ei oletuksena ole rootilla salasanaa lainkaan, eikä sitä pitäisi aktivoida, vaan aina käyttää henkilökohtaisia tunnareita. Voi olla, että jossain distrossa on, mutta ainakaa mitä itse olen käyttänyt RH , ubuntu ja mint.
Oisko kyseessä että tietokannan hallintatyökalu phpmyadmin olisi ollut nettiin päin avoimena?
Tässä vielä tekniseltä kannalta ihan mielenkiintoinen tweettaus:
threadreaderapp.com
Tässä vielä tekniseltä kannalta ihan mielenkiintoinen tweettaus:
Thread by @suonpaa on Thread Reader App
@suonpaa: Osapuilleen tusinan twiitin mittainen lanka #Vastaamo-tietomurrosta. Puhun tietomurrosta, Pythonista ja SQL-tietokannoista, joista mistään en oikeastaan kovin paljon tiedä. Varovaisuutta lukijalle, siis. 1/...…
threadreaderapp.com
Viimeksi muokattu:
Vastaamon toimitusjohtaja Ville Tapio on vetäytynyt täysin maan alle ja pysytellyt hiljaa. Ihan naurettavaa touhua yhtiön toimitusjohtajalta, ja kertoo osaltaan siitä, millainen johtamisen ja vastuunkannon kulttuuri kyseisessä yhtiössä on valloillaan.
Tämä. Kaikella kunnioituksella, kyllähän tuo hetu voidaan nykyään varastaa käytännössä ihan mistä vain, eikä se ole tämän rikoksen tragedia.
Viimeksi muokattu:
/img-s3.ilcdn.fi/5047bf632ce6ef0bb074018de3f5fdb3e97f3421ccda36447d172782d8d18b6f.jpg)
Myrskyn silmään joutunut Vastaamo palkkasi Tekirin hoitamaan kriisiviestintää
Laajan tietomurron kohteeksi joutunut psykoterapiakeskus Vastaamo on palkannut Tekirin hoitamaan kriisiviestintäänsä.
www.iltalehti.fi
"Sen sijaan Vastaamon toimitusjohtaja ja potilastietojärjestelmän kehittäjä Ville Tapio on pysytellyt hiljaa. Esimerkiksi Iltalehti on yrittänyt tavoitella Tapiota lukuisia kertoja onnistumatta siinä."
Tässä kappaleessa olennainen jos ei halua lukea Iltapaskan uutista.
Kyllä, todennäköisesti meillä on nyt vähintään tuhansia ihmisiä, joiden yksityisistä yksityisimmät asiat on tuotu saalistajien ja muiden kusipäiden saataville.
Tästä on jo mm. Panu Huuhtanen haastanut seuraajiaan kaivamaan poliittisten vastustajien potilaskertomuksia, jotta pääsevät niitä julkaisemaan MV-lehdessä ja muissa hörhömedioissa.
Hetut ovat tosiaan harmillinen vuoto, käytännössä pieni sivuseikka, josta voi aiheutua tilapäistä haittaa kohteille, mutta paljon isompi asia ovat nuo potilaskertomukset.
Siis todellako? Ei luoja näitä tyyppejä, mitä limanuljaskoja. Anyway, hetut on tosiaan pieni juttu, mutta myös todella helppo korjata. Niin että miksi ei siis korjattaisi. Taisi olla perssuomalaiset, jotka halusivat että siitä edelleen näkyy sukupuoli, syntymäaika ja epäilemättä puoluekantakin ja että on rahantuhlausta modernisoida järjestelmä?
Myrskyn silmään joutunut Vastaamo palkkasi Tekirin hoitamaan kriisiviestintää
Laajan tietomurron kohteeksi joutunut psykoterapiakeskus Vastaamo on palkannut Tekirin hoitamaan kriisiviestintäänsä.
"Sen sijaan Vastaamon toimitusjohtaja ja potilastietojärjestelmän kehittäjä Ville Tapio on pysytellyt hiljaa. Esimerkiksi Iltalehti on yrittänyt tavoitella Tapiota lukuisia kertoja onnistumatta siinä."
Tässä kappaleessa olennainen jos ei halua lukea Iltapaskan uutista.
Jos puhutaan "Suomen historian merkittävimmästä" tietoturvaskandaalista, niin olisi todella kummallista, jos esim. Tapion asemassa oleva henkilö olisi antamassa julkisuuteen lausuntoja ennen kuin asiat ovat tarvittavissa määrin selvillä ja käyty läpi juristien ja muiden asiantuntijoiden kanssa. Nythän on edessä todella isojen oikeudellisten vastuukysymysten setviminen vaikka missä eri tahojen välisissä suhteissa ja kysymyksissä – siis suhteissa/kysymyksissä, jotka eivät tällä hetkellä välttämättä edes ole kunnolla hahmotettavissa. Näitä tullaan käymään oikeudessa läpi vuosia.
Voin vain kuvitella, minkälainen damage control -tilanne on päällä eri tavoilla asiaan liittyvissä lafkoissa ja lafkoissa/yksittäisten henkilöiden piirissä, joilla on kiusallista tietoa vaarantunut.
Viimeksi muokattu:
No pari päivää ja n. 40€ on tähän mennessä palanut omaa aikaa ja rahaa tähän. Ei kauheasti naurata, vaikka tiedänkin sattuneesta syystä jo etukäteen, että mitä tietoja minusta on tuolla (olin sattumalta avioeroa varten pyytänyt kaikki tiedot Vastaamosta jo pari vuotta sitten). Siinä mielessä mulla on hyvä tilanne, että tiedän ettei minusta mahdollisesti julkaistavat tiedot ole missään määrin haitallisia, lähinnä yleisiä kirjauksia. Mutta en edes tahdo miettiä mitä joku monivuotisen intensiiviterapian läpikäynyt henkilö on tuonne mahtanut tilittää...
Ja nyt kun tässä on tehnyt eri paikkoihin eri estoja, niin muutama ajatus on herännyt.
- Miksi ihmeessä vuonna 2020 edelleen pannaan netistä printatulle lomakkelle, jossa on allekirjoitus, minkäänlaista painoarvoa? Ei tuo ole mikään tunnistautuminen, ja mistä se vastaanottaja tietää millainen kenenkin nimikirjoitus on?
- Miksi luoton ottamisen esto tehdään yksityisen palvelutuottajan kautta, joita on vielä kaksi eri toimijaa ja molemmat veloittavat siitä?
- Miksi esim Klarna voi myöntää luottoa pelkkää henkilötunnusta vastaan ja siirtää vastuun tästä henkilötunnuksen omistajalle?
Kuvittelevatko vielä oikeasti, että palkkaamalla jonkun mediakonsultin firman tarina vielä jatkuu? Ei kai kukaan tuonne enää mene potilaaksi?
Se ei yllätä, että siellä joku Tekri on pumppaamassa rahat irti tuoltakin johonkin älyttömään hintaa luultavasti ennen kuin mahdollisia vahingonkorvauksia jouduttaisiin maksamaan ja kassa tyhjä. Kiva naureskella matkalla pankkiin.
Kaikkien yrittäjien kannattaa miettiä noita IT-hommiaan, eikä pelkästään tietoturvan kannalta. Ei välttämättä kannata väsätä mitään omia systeemejä, vaikka osaamista olisikin. Tässäkin tapauksessa yksi yrittäjistä on näin tehnyt ja homma on jäänyt retuperälle ja saletisti ilman dokumentaatiota. Tein itse ja säästin voi IT-hommissa iskeä takaisin pahasti, jos vaikka satut jäämään auton alle ja olet ainoa kuka siitä järkästä tietää mitään.
Toinen mikä on useasti pienyrittäjillä perseellään, on tietojen säilytys/varmuuskopiointi. Laittakaa ne tiedot edes vaikka Google Driveen tms. ilmaiseen pilvipalveluun. Koneen hajotessa/sekoillessa tulee hätä kun häviää yrityksen päivittäiselle toiminnalle/kehittämiselle erittäin tarpeellista dataa.
Olen paria yrittäjää joskus auttanut tiedon palautuksessa ja ovat kyllä olleet ikionnellisia kun tiedot on saatu kohtuu vähällä vaivalla takaisin.
Toinen mikä on useasti pienyrittäjillä perseellään, on tietojen säilytys/varmuuskopiointi. Laittakaa ne tiedot edes vaikka Google Driveen tms. ilmaiseen pilvipalveluun. Koneen hajotessa/sekoillessa tulee hätä kun häviää yrityksen päivittäiselle toiminnalle/kehittämiselle erittäin tarpeellista dataa.
Olen paria yrittäjää joskus auttanut tiedon palautuksessa ja ovat kyllä olleet ikionnellisia kun tiedot on saatu kohtuu vähällä vaivalla takaisin.
Konalan Kettu
Jäsen
- Suosikkijoukkue
- HIFK
Syynä varmaan se, että luottotappioita ei tule tarpeeksi. Ei velaksi myynissä ole ymmärtääkseni suuremmin sääntelyä (paitsi visiin tupakan ja viinan osalta). Mikään ei estä esim. autoliikettä toimittamasta arvokasta autoa pelkän puhelin soiton perusteella ja lähettämästä laskua perään. Laskua voi ihan periäkkin, mutta jos asiakas sitten keskeyttää perinnän on myyjäliike heikoilla.
Perintälaissa annetaan velalliselle oikeus keskeyttää yksityisoikeudellinen perintä, jolloin seuraava aste on käräjäoikeus ja sinne on taas Klarnan hankala lähteä "tilaaja tiesi hetun, joten kyllä se oli se" perusteella. Suomalaiset ovat kovin tunnollisia eivätkä oikein tunne oikeuksiaan ja sen johdosta kaiken maailman pelottelut tehoavat hyvin.
Öö, kyllä esimerkiksi BP:n Meksikonlahden öljyonnettomuudessa heti seuraavana päivänä CEO Tony Hayward antoi lausunnon, jossa hän vakuutti että kaikki mahdollinen tehdään tilanteen selvittämiseksi ja vuodon korjaamiseksi.
Ei siinä sen kummempia tuossa vaiheessa yhtiön keulakuvalta ja operatiiviselta johtajalta tarvita, kuin osoittaa että parhaamme teemme. Toki BP:n tapauksessa tämän jälkeen Hayward antoi paljon kontroversiaaleja ja huonosti valmisteltuja lausuntoja. Se ei poista sitä tosiasiaa, että täydellinen piiloutuminen on aivan helvetin urpoa.
Vastaamo: Toimitusjohtajalle potkut – toinenkin murto vuonna 2019, epäillään pimittäneen tietoja
Vastaamo kertoo irtisanoneensa toimitusjohtajansa. Hallituksen puheenjohtaja ottaa yhdessä johtoryhmän kanssa Vastaamon johdettavakseen. Samalla alkavat oikeustoimet.
www.is.fi
Huh huh. Tästä kirjoitin aiemmin. TJ on tiennyt tietomurroista ja myynyt uusille omistajille firman kertomatta tietomurroista. Aikamoinen koijaus!
Ei ihme ettei TJ kommentoinut mitään.
Viimeksi muokattu:
Millä tavalla henkilötunnusjärjestelmän muuttaminen estäisi henkilötunnuksen väärinkäytön? Miksi siis tämä pitäisi korjata? If it ain't broke, don't fix it.
Identiteettivarkaus- ja väärinkäytöstilanteissa henkilötunnus voidaan nytkin hakemuksesta muuttaa. Nykyisessä henkilötunnuksessa ei ole mitään vikaa, päinvastoin, se on helppo muistaa ja käyttäjälleen siksi kätevä. Henkilötunnuksen tarkoitus on olla yksilöivä tunnus, jota käytetään henkilöiden yksilöintiin. Yhä enemmän asiointi alkaa mennä sähköisiin varmenteisiin ja nyt tapahtunut varmasti vaan vauhdittaa kehitystä.
Cloaca Maxima
Jäsen
- Suosikkijoukkue
- TPS, Philadelphia Flyers
Vastaamo: Toimitusjohtajalle potkut – toinenkin murto vuonna 2019, epäillään pimittäneen tietoja
Vastaamo kertoo irtisanoneensa toimitusjohtajansa. Hallituksen puheenjohtaja ottaa yhdessä johtoryhmän kanssa Vastaamon johdettavakseen. Samalla alkavat oikeustoimet.
Huh huh. Tästä kirjoitin aiemmin. TJ on tiennyt tietomurroista ja myynyt uusille omistajille firman kertomatta tietomurroista. Aikamoinen koijaus!
Ei ihme ettei TJ kommentoinut mitään.
Käsittämätöntä touhua, mutta uutisessa kuitenkin mainitaan, että toisen tietomurron yhteydessä TJ on _todennäköisesti_ tiennyt asiasta. Jättää kuitenkin edelleen spekuloinnille sijaa.
Tästä olen itsekin kuullut, vanha phpmyadmin versio ja mysql:n tunnukset root:root.Oisko kyseessä että tietokannan hallintatyökalu phpmyadmin olisi ollut nettiin päin avoimena?
Tässä vielä tekniseltä kannalta ihan mielenkiintoinen tweettaus:
Thread by @suonpaa on Thread Reader App
@suonpaa: Osapuilleen tusinan twiitin mittainen lanka #Vastaamo-tietomurrosta. Puhun tietomurrosta, Pythonista ja SQL-tietokannoista, joista mistään en oikeastaan kovin paljon tiedä. Varovaisuutta lukijalle, siis. 1/...…
JOL
Dodiin, toimarin hiljaisuuteen löytyi syy, kaveri on saanut kenkää, pimitettyään tietovuotoa 1,5 vuotta:
Ei olisi kiva olla tiimissä joka on tehnyt Vastaamon yrityskaupan DD:n.
Ei olisi kiva olla tiimissä joka on tehnyt Vastaamon yrityskaupan DD:n.
Kirjaudu sisään, jos haluat vastata ketjuun. Jos sinulla ei ole vielä käyttäjätunnusta, rekisteröidy nyt! Kirjaudu / Rekisteröidy