Vastaamon tietomurto

[jussi_j]

Iltasanomien mukaan MySQL kantaan oli sallittu yhteydet ulkoverkosta. Varmaan siis tarkoittaa, että kanta on näkynyt ulkoverkkoon ja ainakin joillain käyttäjillä on ollut mahdollisuus logata kantakoneeseen etänä ilman VPN:ää. Mitähän tohon sanois. Varmaan joku toimarin kaverin sukulaispoika, joka on tosi pätevä ja osaa kaikki tietsikkajutut, päässyt hoitamaan hommia.

GDPR:n mukaan tietosuojavaltuutetun toimisto voi määrätä sakon max. 4% yrityksen liikevaihdosta. Jos tästä ei napsahda, niin ei mistään.

 

[Tuamas]

Mitähän tohon sanois. Varmaan joku toimarin kaverin sukulaispoika, joka on tosi pätevä ja osaa kaikki tietsikkajutut, päässyt hoitamaan hommia.

GDPR:n mukaan tietosuojavaltuutetun toimisto voi määrätä sakon max. 4% yrityksen liikevaihdosta. Jos tästä ei napsahda, niin ei mistään.

Saatavilla olevan tiedon mukaan toimari on suurimman osan tainnut tehdä ihan omin pikku kätösin.

GDPR-sanktiomaksimit ovat joko 4% liikevaihdosta tai 20 miljoonaa euroa, riippuen kumpi on suurempi.
Eli Vastaamon osalta maksimisanktio on 20 000 000 €.

Suomessa toistaiseksi isoin sanktio on tullut Postille, joka sai 100 000 € sanktiomaksun (ei ollut kertonut muuttoilmoituksen tekemisen yhteydessä rekisteröidyille heidän oikeuksistaan, muun muassa oikeudesta kieltää tietojen luovuttaminen), maailmalla hotelliketju Marriot pitää kärkipaikkaa 110 000 000 € sanktiomaksulla (339 miljoonan asiakkaan tiedot vuosivat ostetun Starwood-hotelliketjun järjestelmistä maailmalle).

 

[lihaani]

Eiköhän Vastaamon taru ole tässä?
Terapia perustuu luottamukseen. Siksi vaitiolovelvollisuus lain mukaan on miltei ehdoton. Vain oikeuden päätöksellä sen voi hyvin rajatuissa tapauksissa murtaa.
Että kymmeniätuhansia potilastietoja teillä tietymättömillä?
Käräjillä tavataan!

 

[Individual]

Jotenkin ei taas yllättänyt.
Edit: Olihan tästä jo puhetta

Ylilauta-foorumilla julkaistu Vastaamon potilaskertomuksia – Näin vastaa ylläpito

Keskustelufoorumin ylläpito ei salli potilastietojen julkaisua sivustolla. Ylilaudan entinen edustaja muistuttaa, että koko foorumia ei pidä syyllistää tietojen julkaisusta.

www.iltalehti.fi

 

[Morgoth]

Eiköhän Vastaamon taru ole tässä?

Toivotaan. Toimari nyt heitetään ihan syystäkin bussin alle, yhtiön hallitukselle tulee ehkä jotain kolhuja, mutta mitä sitten lainsäätäjät eli poliitikot lopulta tekevät? Ollaan järkkytyneitä, luvataan kaikki mahdollinen apu ja lopuksi ei tapahdu juuri mitään. Kenties kirjataan lakiin "potilastiedot eivät saa vuotaa nettiin eikä hakkerien käsiin" vähän niin kuin hoitajamitoitus ja homma ratkaistu. Valviraan kenties palkataan kaksi uutta virkamiestä oikealla puoluekirjalla varustettuna (ihan kuin näiden tekninen osaaminen olisi välttämättä yhtään parempi kuin tällä tee-se-itse-toimarilla tai edes samalla tasollakaan) valvomaan tietoturvaa. Seuraavissa vaaleissa taas kaikki puhuvat digiloikasta, vaikka kukaan mitään ymmärräkään mistään, mutta kuulostaa aina niin hyvältä.

Siinä sitten tietomurron uhri vain ripustelee narua kaulaansa terapioinnin lopputuloksena tai ainakin vannoo ettei enää ikinä mene puhumaan asioistaan.

 

[Jakedeus]

Mitä sitten lainsäätäjät eli poliitikot lopulta tekevät?

Mielenkiinnosta, mitä pitäisi tehdä?

 

[Turha Kaukalo]

Oletteko kokeilleet tätä? Syötät mailin ja mailiisi tulee linkki joka kertoo onko tietosi vuotaneet. Kuulosti hämärältä alkuun :D

Kiitos vinkistä!

Ei ollut Turha Kaukalon löpinät ainakaan vielä netissä. "T.K. on sitä mieltä että modet on ihan paskoja kun ovat ilkeitä ja kateellisia jne."

 

[Siivu]

Mielenkiinnosta, mitä pitäisi tehdä?

Ainakin GDPR:n osoitusvelvollisuuden täyttämisen tarkempi valvonta tulee äkkiseltään mieleen. Lisäksi tämänkaltaisten hyvin sensitiivisiä tietoja säilyttävien organisaatioiden tietoturvatestaus pitäisi olla säännöllistä ja pakollista.

 

[Snakster]

Ainakin GDPR:n osoitusvelvollisuuden täyttämisen tarkempi valvonta tulee äkkiseltään mieleen. Lisäksi tämänkaltaisten hyvin sensitiivisiä tietoja säilyttävien organisaatioiden tietoturvatestaus pitäisi olla säännöllistä ja pakollista.

No tämähän menee sitten Sipilän hallituksen piikkiin, vai miten?

 

[teppana]

No tämähän menee sitten Sipilän hallituksen piikkiin, vai miten?

Mikä ei menisi?

 

[Siivu]

No tämähän menee sitten Sipilän hallituksen piikkiin, vai miten?

Epäilemättä aika kieli poskessa heitetty tämä, mutta ehkäpä tarkemmalle sääntelylle tietyn tyyppisiä tahoja kohtaan olisi tarvetta nyt kun voidaan hyvin karulla tavalla todeta, millaisten häikäilemättömien opportunisti-uuvattien toimesta helvetin arkaa tietoa suojataan ja miten.

Ylen uutisessa Kuluttajaliitto hämmästelee, miten Vastaamon tietojärjestelmää 14000 asiakkaan tietoineen ei oltu luokiteltu A-luokkaan, jolloin siihen olisi kohdistunut mm. ulkopuolinen tietoturva-auditointi ja paljon muuta.

 

[Tadu]

Ylen uutisessa Kuluttajaliitto hämmästelee, miten Vastaamon tietojärjestelmää 14000 asiakkaan tietoineen ei oltu luokiteltu A-luokkaan, jolloin siihen olisi kohdistunut mm. ulkopuolinen tietoturva-auditointi ja paljon muuta.

Kuluttajaliitossa ei osata lukea. Vastaamon järjestelmä ei kuulu A-luokkaan, koska sitä ei ole integroitu omakantaan.

 

[Morgoth]

Mielenkiinnosta, mitä pitäisi tehdä?

Kuten kyberturvallisuuskeskuksen asiantuntija eilen A-studiossa sanoi niin kai tämä on myös osittain arvovalinta että miten paljon asioita halutaan säädellä ja miten paljon antaa vapauksia. Vapaus ainakin mahdollistaa villetapiot.

Tuntuu vain uskomattomalta, että näin sensitiivistä dataa voi olla säilytettynä niin kuin nyt oli. Yksittäisen ihmisen kannalta kiusallisempaa tietovuotoa en keksi. Toki nyt yhteiskunnan kannalta paljon vaarallisempia tietovuotoja voisi kuvitella. Työelämässä kun tottunut kaikenlaista huomattavasti vähemmän sensitiivisen datankin kanssa vain aivan erilaisiin toimintatapoihin.

SOX 2000-luvun alussa iso juttu ja GDPR oli myös jotain, joten toivotaan että tässä nyt herätään, että tekninen kehitys menee edella ja lainsäädäntö tulee perässä.

 

[teppana]

Tästä olen erimielinen, lapsellisen helppoa ilman minkäänlaista kiinnijäämisen pelkoa. Vaatii prepaidin ja sen ettet ole tyhmä.

Ei se julkisessa verkossa liene ihan noin idioottivarmaa. Prepaid liittymätkin on jäljitettävissä.

 

[Zeta03]

Alkuperäiset tekijät mokasivat aika täysin, että hetken aikaa koko tietokanta oli ladattavissa tor-verkossa, joten tavallaan kiristysmielessä se on rahallisesti aika arvotonta matskua enää

Tuostahan oli jossain juttua, että se kantalimppu oli kryptattu, joten ei siitä varmaan kukaan sen ladannut kostu mitään?

 

[teppana]

Jaa kerrotko millähän lailla, kun käytät sitä simmiä sen kerran kun nuo nettiin latailet? Toki jos olet tyhmä ja käytät samaa luuria kuin muutoin, on mahdollista jäädä kiinni.

Eikös noista jää myyntitilanteessa jälki? Eli puhelimen/mokkulan/liittymän yksilöiminen ja jäljittäminen myyntitilanteeseen. toki jos käteisellä maksaa prepaid liittymän ja laitteen niin silloinhan se on jo huomattavasti hankalampi lähteä selvittämään.

 

[heavy]

Jaa kerrotko millähän lailla, kun käytät sitä simmiä sen kerran kun nuo nettiin latailet? Toki jos olet tyhmä ja käytät samaa luuria kuin muutoin, on mahdollista jäädä kiinni.

Tapoja jäljittää prepaid on varmaan useita, esim. kun ostat sen prepaidin, niin aika varmaan jää johonkin kameraan ostaja.

 

[RexHex]

Ei nyt ole tarkoitus antaa sen enempää vinkkejä mitenkä asiat voisi hoitaa jäämättä kiinni, mutta tuollainen prepaid-liittymä plus vaikka (ulkomaalainen) vpn tai vaikka joltain asuinalueelta löytyvä avoin wi-fi niin ei ehkä turvakameratkaan enää auta. Mutta tämä nyt menee minusta aika paljon ohi aiheen.

 

[heavy]

Ei nyt ole tarkoitus antaa sen enempää vinkkejä mitenkä asiat voisi hoitaa jäämättä kiinni, mutta tuollainen prepaid-liittymä plus vaikka (ulkomaalainen) vpn tai vaikka joltain asuinalueelta löytyvä avoin wi-fi niin ei ehkä turvakameratkaan enää auta. Mutta tämä nyt menee minusta aika paljon ohi aiheen.

Joo, ei liity aiheeseen, mutta mainitaan nyt se turkulainen kidnappaaja, jonka jäljille päästiin prepaidien kautta vaikka hyödynsi mm. avoimia wifi verkkoja viestinnässään.

 

[teppana]

Niin, minähän juuri kerroin ettei tarvitse olla tyhmä tuossa tilanteessa.
Yksinkertaisuudessaan homma toimii niin, että ostat sen Prepaidin huoltikselta muutamaa kuukautta aiemmin käteisellä, puhelimen parillakympillä Torista ja teet s.postitilin sopivaan paikkaan. Sen jälkeen "tilit" haluamillesi alustoille ja tuuttaat sontaa interwebin täyteen jossain sopivassa paikassa. Et siis kotonasi, työpaikalla vaan vaikkapa puistossa. Tämän jälkeen hävität sen Simmin ja luurin.
Näistähän jäädään useimmin kiinni, kun töhöillään himaosoitteesta tai maksellaan korteilla. Suomen tilanne esim.prepaidien osalta on mulle epäselvää, että saadaanko numero aina yksilöityä maksutapahtumaan kaikissa kassajärjestelmissä.

Varmaan riippuu juuri aika paljon turvakameroista. Nuo ostotilanteet taitaa aika hyvin rekisteröityä ja ne voidaan jäljittää pitkänkin ajan päähän. Mutta vaikeahan se on jostain random kioskilta alkaa yksilöimään henkilöä joka on käteisellä ostanut prepaid liittymän.

Ei se ehkä ihan niin idioottivarmaa ole kuin annoit ymmärtää. Sen puhelimen kun veit kotiin ja annat tornin paikallistaa sen henkilökohtaisen puhelimen viereen niin ollaan jo aika vaarallisilla vesillä. Kaikki ne asiat mitkä tulee ottaa huomioon voi helposti jäädä jokin huomioimatta. Tor verkossa sitten voi jo aika anonyymisti toimia.

 

[benicio]

Selostus yllä, niin varmaan aukeaa. Tyhmyys on tyhmyyttä jos moisia kupruja aikoo tehdä.

E.muokkausta

Ei varmasti kukaan epäile, etteikö homma olisi mahdollista hoitaa ns täydellisesti, mutta ihan nopeastikin mieleen tulee niin paljon mahdollisuuksia ja vaiheita miten tuon voi ryssiä, että ei se ihan tuosta vaan kävisi minulta tai sinulta. Paljon tietysti kiinni myös vastapuolen ts poliisin resursseista, mutta tässä skenaariossa ne olisivat tietysti rajattomat esim teletunnistetietojen osalta.

Edit: En tiedä olisiko esim yksityiseltä puhelimen ostaminen torista fiksua.

 

[teppana]

Ei varmasti kukaan epäile, etteikö homma olisi mahdollista hoitaa ns täydellisesti, mutta ihan nopeastikin mieleen tulee niin paljon mahdollisuuksia ja vaiheita miten tuon voi ryssiä, että ei se ihan tuosta vaan kävisi minulta tai sinulta. Paljon tietysti kiinni myös vastapuolen ts poliisin resursseista, mutta tässä skenaariossa ne olisivat tietysti rajattomat esim teletunnistetietojen osalta.

Edit: En tiedä olisiko esim yksityiseltä puhelimen ostaminen torista fiksua.

Ei varmastikaan kovin fiksua lähteä puhelinta netin kautta ostamaan jos sillä haluaa rikoksia tehdä. Mutta alas, pointtini tosiaan oli se ettei nuo prepaid-liittymät mitenkään helposti takaa anonyymitettiä netissä. Ei rikolliset yleensä mitään neroja ole, mutta jos se olisi niin helppoa kuin käyttäjä antoi ymmärtää, ei rikoksista jäätäisi teletitetojen kautta käytännössä koskaan kiinni.

 

[teppana]

No, mä en jaksa enempää siitä tyhmyydestä mainita ja yksityiskohtaisemmin asiaa avata. Mulla on melkoisen tarkka tieto esim. määrättyjen lafkojen turvakameroiden tallenteiden säilymisajoista, ei siellä puolta vuotta kioskeissa tai kaupoissa säilötä noita. Syyn varmaan arvaat.
Kerrotko mikä laitteisto peilaa ilman sim-korttia olevan puhelimen, jossa virrat on pois päältä? Ei ole vielä tullut vastaan.

En siis tarkoita millään kyseenalaistaa sitä, etteikö prepaid+roskispuhelin voisi toimia tällaiseen tarkoitukseen. En vain usko että se olisi ihan niin yksioikoisen helppoa ja turvallista kuin annoit ymmärtää.

Ei asiaa tarvitse sen enempää avata tai tyhmyyttä alleviivata. Meillä lienee vain näkemysero siinä, kuinka idioottivarmaa se olisi käyttää puhelinta+prepaid liittymää tällaisen tiedon levittämiseen. Mielestäni nuo "ohjeet" jotka jo aiemmin jaoit, antoivat aika hyvän esimerkin siitä, kuinka sinäkin olisit lähtenyt puhelinta tähän tarkoitukseen ostamaan torin kautta.

Mutta aletaan jo mennä sen verran asian ohitse, että puolestani voidaan jättää tähän.

 

[benicio]

Teletietoja jää mainitsemassani tapauksessa rekisteriin 1 kpl koko kortin ajalta.

Sisältäen imein. Ja poliisilla onkin jo puhelimen sinulle myynyt henkilö tiedossa sen saman imein perusteella kun puhelinta oli käytetty aiemminkin.
Joo, tämä on aika turha keskustelu.

 

[benicio]

Varmaan on turhaa joo. Kysyn vaan että mikä minut sitoo siihen edelliseen omistajaan?

Se puhelin. Miten se btw käytännössä sinun haltuusi tuli?
Jollekin Suunnittele ja pilaa täydellinen rikos -ketjulle voisi olla käyttöä.