Vastaamon tietomurto

[finnjewel]

Koska aihe on mitä tärkein ja saanut aikaan jo hallitustason toimia, niin siitä on mielestäni paikallaan avta oma ketju, ettei keskustelu hajaannu.
Alustuksesksi vaikkapa Helsingin Sanomien uutinen:

Tietosuoja | Vastaamo: Tietomurtoja saattoi olla kaksi – Toimi näin, jos epäilet tietojasi varastetun tai olet saanut kiristysviestin

Vastaamon asiakkaille alkoi lauantaina tulla kiristysviestejä, mutta ne eivät välttämättä ole tietomurron tekijältä. Yhteystietoja avun tarjoajiin löytyy jutun lopusta. Rikosuhripäivystys päivystää poikkeuksellisesti myös sunnuntaina.

www.hs.fi

 

[Barcelona]

On kyllä surullinen ja raivostuttava tapaus. Voin vain kuvitella kiristittävien ja niitä joita asia koskee tuskaa. Toivottavasti tekijä jää kiinni, mutta ilmeisesti todenäköisyydet siihen on aika pienet.

 

[finnjewel]

Tietoturva-asiantuntijaksi tituleerattu Benjamin Särkkä IS:n haastattelussa tekijän kiinnijäämismahdollisuuksista:

"Jos tekijä puhuu yhtään kenellekään, kuulija tuskin pitää sitä tietoa vain itsellään vaan on äärimmäisen todennäköistä, että se joku tästä kertoo, Särkkä sanoo. "

Tuo lienee todennäköisin syy sille, että tekijä ennemmin tai myöhemmin jää kiinni.

 

[UnenNukkuja]

Kunhan nämä kiristettävät tajuaa tehdä sen rikosilmoituksen, eivätkä vaan purkaudu vaikka someen. Törmäsin jo tällaiseen ja sai ylläpito alkaa säätämään selkeää ohjetta.

Onneksi itse olen toisen firman asiakas.

 

[Petri1981]

Todella kuvottava tapaus. Täytyy toivoa, että uhrit eivät nyt menisi antamaan periksi kiristäjille ja maksamaan vaadittavia rahoja, niin nämä rikolliset eivät saisi taloudellista hyötyä rikoksestaan. Näin nämä keissit vältetään tulevaisuudessa myös paremmin, jos ei ole selvää taloudellista insentiiviä lähteä hakkerointi- ja kiristyspuuhiin.

 

[Perusjäbä]

Miten paska tietoturva tuolla Vastaamolla oikein on? Maksavatko asiakkaille korvauksia?

 

[obi-wan]

Rootin hyvä salasana on "root".

Mutta paska tietoturva ei poista sitä tosiasiaa, että teko on kuvottava ja tekijä on alinta mahdollista luokkaa.

 

[aalto]

Tietoturva-asiantuntijaksi tituleerattu Benjamin Särkkä IS:n haastattelussa tekijän kiinnijäämismahdollisuuksista:

"Jos tekijä puhuu yhtään kenellekään, kuulija tuskin pitää sitä tietoa vain itsellään vaan on äärimmäisen todennäköistä, että se joku tästä kertoo, Särkkä sanoo. "

Tuo lienee todennäköisin syy sille, että tekijä ennemmin tai myöhemmin jää kiinni.

Lisäksi tekijällä on perässä iso joukko it-nörttejä. Jos jannu ei ole osannut ja malttanut peittää jälkiään todella hyvin joka käänteessä, niin kyllä se mulkvisti kiinni jää.

Kiristämisen ulottaminen asiakkaisiin kertoo epätoivosta. Jos tekijä olisi todella hyvä, hän ei olisi tehnyt asiasta julkista. Julkinen selkkaus ei ole tekijän kannalta hyvä.

 

[Konalan Kettu]

Itseäni ihmetyttää ketä ylipäätään kiinostaa toisten ihmisten terapiatiedot. Ymmärän että tietojen vuotaminen aiheuttaa ahdistusta, mutta oikeastiko joku pimessä netissä jaksaa lueskella random heppujen tietoja läpi. Mikään ei muutekaan takaa, että maksaminen estää julkaisun, joten omasta mielestäni maksaminen on aika kyseenalaista.

Tuli muuten mieleen, että jonkin aikaa sitten sain itse useita (tekaistuja) kiristysviestejä, jossa vaadittiin rahaa tai muuten arkaluntoisia videoita minusta lähetetään kontakteilleni. Kiristyksen kohdehan on tässä väärä! Vastaanottajiahan tässä olisi pitänyt kiristää. Suurempi järkytys se runkkuvideo minusta on sille vastaanottajalle kun minulle.

 

[aquanqua]

Miten paska tietoturva tuolla Vastaamolla oikein on? Maksavatko asiakkaille korvauksia?

Saataisiinkohan vihdoin ja viimein ryhmäkannelaille käyttöä.

 

[Petri1981]

Itseäni ihmetyttää ketä ylipäätään kiinostaa toisten ihmisten terapiatiedot. Ymmärän että tietojen vuotaminen aiheuttaa ahdistusta, mutta oikeastiko joku pimessä netissä jaksaa lueskella random heppujen tietoja läpi. Mikään ei muutekaan takaa, että maksaminen estää julkaisun, joten omasta mielestäni maksaminen on aika kyseenalaista.

Tuli muuten mieleen, että jonkin aikaa sitten sain itse useita (tekaistuja) kiristysviestejä, jossa vaadittiin rahaa tai muuten arkaluntoisia videoita minusta lähetetään kontakteilleni. Kiristyksen kohdehan on tässä väärä! Vastaanottajiahan tässä olisi pitänyt kiristää. Suurempi järkytys se runkkuvideo minusta on sille vastaanottajalle kun minulle.

Tuskin ne ketään tavantallaajaa kiinnostaakaan, lähteä kymmeniä tai satoja tuhansia sivuja tekstiä penkomaan ajan kuluksi. Mutta muita pikkurikollisia nuo saattaa kiinnostaa, jotka voivat sitten noita tietoja käyttää esimerkiksi omiin kiristystarkoituksiin.

 

[Morgoth]

Rootin hyvä salasana on "root". Mutta paska tietoturva ei poista sitä tosiasiaa, että teko on kuvottava ja tekijä on alinta mahdollista luokkaa.

Erään toisen palstan (ei tor-verkossa) mukaan ilmeisesti potilastietokantapalvelin julkisessa internetissä, tietokanta ei mitenkään salattu, softat ja käyttis jotain vanhaa paskaa jne. Ilmeisesti joku yhden miehen tekemä potilastietokantajärjestelmä ja samainen sankari luultavasti toiminut myös palvelimien ylläpitäjänä. Aivan käsittämätöntä perseilyä ja toivoa sopii, että yrityksen toimari ja tuo asiantuntijakin joutuvat edes jonkinlaiseen vastuuseen. Eiköhän vastaamon tarina aika pitkälle tässä jokatapauksessa ole tai kuka tuonne enää uskaltaa mennä. Kiristäjästä ei taas voi muuta sanoa kuin että saunan taakse ja niskalaukaus. Toivoa sopii, että jää kiinni. Pelottaa että kuinka paljon muita tälläisiä yrityksiä on jossa tietoturva on samalla tasolla.

Saahan sitä aika perverssin utelias olla, jos lukee naapurin sairaskertomuksia tai jonkun ihan vieraan ihmisen. Onhan tuo matsku myös erilaisten identiteettivarkaiden kultakaivos. Olisikohan aika keksiä pelkän henkilötunnuksen rinnalle joku kaksivaiheinen varmennus. Aivan perseestä tuokin, että koodisarja pitäisi pysyä salassa koko elämän, kun sitäkin nykyään kysytään lähes kaikkialla ja luultavasti usein vielä ihan turhaan.

Digiloikka - joopajoo, tällä osaamisella.

 

[Wiljami]

...
Kiristämisen ulottaminen asiakkaisiin kertoo epätoivosta. Jos tekijä olisi todella hyvä, hän ei olisi tehnyt asiasta julkista. Julkinen selkkaus ei ole tekijän kannalta hyvä.

Tämä on sinänsä tosiaan positiivista kun touhusta puhutaan julkisuudessa isosti. Aivan varmasti nimittäin vähentää kiristykseen suostumisen haluja kun touhu on uutisoitu avoimesti ja uhri tietää ettei ole todellakaan ainoa keltä tämä ihmisperse pyrkii rahaa viemään. Toivottavasti kukaan ei erehdy tuolle maksamaan, ensinnäkin tosiaan täysin epävarmaa onko tämä yksityishenkilöiden kiristäjä edes noiden tietojen viejä (jonkun listan toki nähnyt vähintään mistä osannut alkaa lähestyä Vastaamon asiakkaita kiristyksineen) ja toki se että vaikka tuolla tyypillä ne tiedot olisikin hallussaan, mikään ei estä myymästä niitä edelleen tai kiristyksen jatkamista jos joku erehtyy siitä maksamaan.

Toivottavasti tämän jäljiltä henkilötietoja säilyttävät putiikit käyvät nyt ajatuksen kanssa tietoturvan läpi.

 

[-Kantor-]

En kyllä pidättelisi hengitystä sen suhteen, että tekijä / tekijät saadaan kiinni. Vielä ei liene tietoa, että missä muodossa tämä tietomurto on tapahtunut, mutta ainakin ransomware-kiristyshaittaohjelmista 3/4 on peräisin Venäjältä. Kuten KRP totesi, niin tutkinta-alue on maapallon kokoinen. Pieni kiinnijäämisen riski lieneekin yksi pääsyistä miksi verkkorikollisuuden suosio kasvaa vauhdilla.

Mitä tulee Vastaamon vastuuseen rekisteripitäjänä, toki aina voidaan sanoa, ettei tietoja ole suojattu riitttävällä tasolla, koska vuoto ylipäinsä tapahtui, mutta vielä ei ole tietoa, että liittyykö vuotoon laiminlyöntejä. Täytyy muistaa, että myös rikollisten menetelmät kehittyvät jatkuvasti. Vähän sama kuin fyysisessäkin murrossa; mikäli yrityksen kiinteistö on lukittu ja vartioitu, niin ei se kiinteistön omistajasta varsinaisesti rikollista tee mikäli joku onnistuu silti murtautumaan sinne. Eri asia mikäli ennaltaehkäisyssä on tapahtunut laiminlyönti ja ovet jätetty lukitsematta sekä vartioimatta. Tätä lähestymistapaa sovelletaan varmasti myös mahdollisissa Vastaamon GDPR-sanktioissa, eli tutkitaan onko tietojen suojaamisessa tapahtunut laiminlyöntejä.

E: Toki jos tuo nimimerkki @Morgoth kertoma on totta, niin lienee selviö, että tietoja ei ole suojattu asianmukaisesti.

 

[Morgoth]

Toivottavasti kukaan ei erehdy tuolle maksamaan, ensinnäkin tosiaan täysin epävarmaa onko tämä yksityishenkilöiden kiristäjä edes noiden tietojen viejä

Enpä ole bitcoinihin tarkkaan perehtynyt, mutta luultavasti homma ihan jäljitettävisti mikäli suoraan bitcoin-lompakosta vaihtaa oikeaan maailmaan käytettävään rahaa? Ilmeisesti kuitenkin jotenkin noiden lompakoiden välillä pystyy myös pesemään rahaa tuolla ennen kuin muuttaa ne oikeaksi rahaksi? Luultavasti, koska rikolliset tuskin muuten tuota tor-verkkoa käyttäisivät, jos olisi yhtä helppoa kuin normaalia rahaliikennettä jäljittää.

 

[dana77]

Jatkoajan uutisisssa Taavi Vartiainen on tehnyt rohkean ulostulon ja kertonut sairastavansa bipolaarista mielialahäiriötä, minkä takia hän on nyt sivussa. Ensinnäkin tsempit Taaville sairauden kanssa kamppailuun ja hatunnosto kasvojen antamisesta asialle. Mielenterveyden ongelmissa ei ole mitään hävettävää tai salattavaa. Kuitenkin mietin, että liityikö ajankohta tähän tietomurtoon eli varmistiko hän että sai itse tuoda asian esille. Sekin on täysin ok.

 

[Ziggy]

Ainakin twitterin perusteella myös Aleksi Valavuori on joutunut kiristyksen kohteeksi.
Julkisuuden henkilölle aika ikävää jos henkilötiedot vuotavat julkisuuteen henkilötunnusta myöten, sen avulla monikin idiootti pystyy tekemään kaikkea mahdollista kiusaa jatkossakin.
Aika perseestä tällaiset, toivottavasti tekijät joutuvat vastuuseen.

 

[finnjewel]

Taitaa olla tällaisten kiristysjuttujen peruskauraa, että luvataan poistaa tiedot jos maksaa.
Tietenkään mitään takeita tietojen poistamisesta ei ole vaan puliveivaaminen voi jatkua hamaan tulevaisuuteen.
Pahin rangaistus kiinni jääville on kaikkien mahdollisten nettiyhteyksien torppaaminen niin pitkäksi aikaa kun linnassa istuvat.

 

[Cloaca Maxima]

Pahimmillaan uhreilla on edessä helvetinmoinen säätäminen ja henkinen taakka. Sen lisäksi, että arkaluontoisia tietoja on vuotanut, niin identiteettivarkaillehan tämä on oikea kultakaivos.

Pelkästään se, että joutuisi tekemään oma-alotteisia luottokieltoja tmv. identiteettivarkauden vuoksi on hyvin ahdistavaa kaiken muun taakan lisäksi. Ihminen myös saattaa lamaantua jolloin ei osaa toimia rationaalisesti ja pelätä häpeää jos omat tiedot tulisivat julki.

Kuinkakohan paljon tämä vaikuttaa paikoin jo nyt isoon kynnykseen hakea apua mielenterveysongelmissa? Vastaamon palveluiden kysyntä ainakin romahtanee isosti.

 

[Konalan Kettu]

Nyt olisi viimeinkin aika laajemmin tajuta, että henkilötunnus ei ole mikään varmenne. Se, että joku tietää henkilön X hetun, ei missään palvelussa pidä merkitä sitä, että voi esiintyä henkilönä X. En tiedä missä vaiheessä henkilötunnusta on alettu käyttää henkilöllisyyden tunnistamisessa, mutta siinä vaiheessa on kyllä menty pahasti metsään. Se ei ole mikään salasana koska sen selvittäminen ei ole mitenkään vaikeaa ja se löytyy vaikka mistä rekistereistä.
EDIT: ennen maksukorttien pin-koodiaikaa jokaisen suuremman oston yhteydessä hetun loppuosa merkittiin kuittiin, joten sen käyttäminen jonkinlaisena identiteetin varmentajana on täysin aivokuollutta.

 

[Cobol]

Erään toisen palstan (ei tor-verkossa) mukaan ilmeisesti potilastietokantapalvelin julkisessa internetissä, tietokanta ei mitenkään salattu, softat ja käyttis jotain vanhaa paskaa jne. Ilmeisesti joku yhden miehen tekemä potilastietokantajärjestelmä ja samainen sankari luultavasti toiminut myös palvelimien ylläpitäjänä. Aivan käsittämätöntä perseilyä ja toivoa sopii, että yrityksen toimari ja tuo asiantuntijakin joutuvat edes jonkinlaiseen vastuuseen.

Ihmisille aiheutetun ahdistuksen ja rikoksen lisäksi tämä on oleellinen asia. Heikko suojaus on jo yleisesti tiedossa. Esimerkiksi F-Securen tietoturvajohtaja Erka Koivunen totesi, että datan salakirjoittaminen olisi auttanut, ja lisäksi arkaluontoisia tietoja olisi pitänyt irrottaa potilaiden identiteeteistä. Salasanoilla on myös ollut valtava merkitys. Nyt on ollut käytössä oletussalasanoja.

En tiedä onko Vastaamo ainoa heikosti potilastiedon suojannut taho, mutta epäilen, että niitä löytyy lisää. Kukaan ei valvo sen jälkeen kun toiminta hyväksytään. Mitään tarkistuksia ei tehdä. Ehkä olisi aika laittaa hieman rahaa siihenkin, että yksityisten ja julkisten tahojen potilastietokantojen suojaus tarkistetaan.

 

[kaizu]

Meille tuli perheeseen tuo kiristyskirje kun ollaan ko. lafkaa käytetty. Ei todellakaan aiota maksaa mitään - kovasti tekisi mieli vastata ja haistattaa paskat mutta ei liene fiksua kerätä ko taholta erityistä huomiota.

Omalla kohdalla ei kyse nyt ole kun lähinnä kiusallisista yksityisasioista eli ei tarvinnut Saurille soitella (hieno homma häneltä että kuunteli viimeyönä niitä joita tarvitsi) mutta onhan toi nyt syvältä, varmuuden vuoksi joutuu sen luotonotto-kiellonkin tekemään ja se vielä muutaman kympin maksaakin.

Toivottavasti nyt yksikään paskamedia ei ryhdy repimään otsikoita niistä luurangoista, joita joistain julkisuuden henkilöistä verkkoon tätä kautta näkyville tulee.

 

[Morgoth]

Nyt olisi viimeinkin aika laajemmin tajuta, että henkilötunnus ei ole mikään varmenne.

Katselen tossa YLEn lähetystä ja ilmeisesti mm. patentti- ja rekisterikeskukseen pitää tehdä ilmoitus, postiin ja mikä älyttömintä niin asiakastiedon luottokielto maksaa 20 €. Siellä kustaan hunajaa, kun rahaa tulee ovista ja ikkunoista mikäli 40000 ihmistä tekee tuon.

Kyllähän käytäntö ja kenties lainsäädäntökin on aika surkeaa identiteettivarkauksissa ja tämä vielä paljon muutakin.

 

[dana77]

Se ei ole mikään salasana koska sen selvittäminen ei ole mitenkään vaikeaa ja se löytyy vaikka mistä rekistereistä.

Tämä on justiinsa näin. Minulla on pääsy ehkä miljoonan ihmisen hetuihin ja ne säilytetään käytännössä poikkeuksetta kryptaamatta ja salttaamatta tietokannoissa toisin kuin salasanat. Mm kaikkien osakeyhtiöiden (myös asuntosellaisten) hallituksen jäsenien tiedot löytyvät julkisista rekistereistä. Tarkoittaa satoja tuhansia (ellei yli miljoonaakin) suomalaisia.

Pekka Sauri teki muuten miehen työn twitterissä tämän tapauksen tiimoilta. Hän julkaisi oman henkilökohtaisen puhelinnumeronsa ja sanoi että hänelle saa soittaa jos kokee vahvaa ahdistusta tapauksen johdosta, eikä ole ketään muuta jolle puhua. Hänhän on koulutukseltaan psykologi, kuten tietenkin kaikki yölinjan kuuntelijat muistavat (sorry pekka että joskus teineinä tehtiin silleen tyhmästi että soitettiin piloinpäin).

 

[ZayWest]

Heitetään jotain sanomattakin selvää.

Tarkoitus tekijän näkökulmasta lienee kiristää jonkun julkisuudesta nimeä omaavien tai vaikkapa isojen firmojen pääjehujen sekä muutoin vaikutusvaltaisten ihmisten rahoja. Tai lopulta aiheuttaa vain kiusaa.

Toinen skenaario on kostaa jotain henkilökohtaista. Itsensä tai jonkun muun puolesta.

Tai sitten joku oman elämänsä "supersankari" haluaa osoittaa kykynsä ja jäädäkin kiinni.

Ihan randomtavikselle tämä ikävä kyllä aiheuttaa tilanteista riippuen tuskaa vaikka toivoisin heidän sisäistävän ettei nobodyjen tietoihin kovinkaan moni jaksa perehtyä.

Häpeällistä paskaa kuitenkin useassa mielessä.