Vastaamon tietomurto

  • 70 644
  • 408

Zeta03

Jäsen
Suosikkijoukkue
Porin Ässät, sympatiat KooKoo
Ei nykypäivänä tunnistautuminen voi perustua siihen, että tietää nimen ja jonkun siihen liittyvän koodin (on se nykymuotoinen hetu tai joku uusi) ja riittää että tämän sanoo puhelimessa tai naputtelee jonnekin nettisivulle.

Vaikkei tähän suoranaisesti liitykään eikä isoa tuhoa saa aikaan, niin huvittaa tuo Mehiläisen lääkäriajanvaraus. Se tehdään edelleen hetulla, luulisi tuon kokoisella firmalla olevan jo käytössä pankkitunnistautuminen tuossa pelkässä ajanvarauksessakin...
 

Metukka

Jäsen
Suosikkijoukkue
HIFK

Zeta03

Jäsen
Suosikkijoukkue
Porin Ässät, sympatiat KooKoo
Onko tuo nyt oikeasti jossain muuallakin kuin netin keskustelupalstoilla kerrottu, että salasana on ollut root?

Tietomurron tekijä oli itse kertonut "it was not, the login was root:root". Piruko sitä tietää puhuiko totta vai palturia
 

Tuamas

Jäsen
Mitä kaikkea sillä hetulla sitten pystyy tekemään? Peruuttamatonta vahinkoa?

Ei mitään peruuttamatonta vahinkoa, mutta paljon pientä kiusaa, jonka ehkäisemiseksi uhrin on nähtävä vaivaa.

Ohessa lyhyt lista, joissa ei tarvita vahvaa tunnistautumista ja joilla voi tehdä kiusaa, paitsi jos uhri on ryhtynyt ennakoiviin toimenpiteisiin:
- Luoton ottaminen, esimerkiksi Klarnan laskurahoitus ei käsittääkseni vaadi kuin HETUn, ei vahvaa tunnistautumista ja palvelu on tarjolla sadoilla ellei tuhansilla nettikaupoilla
- Merkitseminen bulvaaniksi yhtiöön kaupparekisteriin
- Muuttoilmoitus
- Kirkosta eroaminen
 

Zeta03

Jäsen
Suosikkijoukkue
Porin Ässät, sympatiat KooKoo
Ei mitään peruuttamatonta vahinkoa, mutta paljon pientä kiusaa, jonka ehkäisemiseksi uhrin on nähtävä vaivaa.

- Kirkosta eroaminen

Luokitellaanko tuo nyt sitten kiusaksi vai palvelukseksi? *hymiö*
 

Cobol

Jäsen
Suosikkijoukkue
Suomalainen jääkiekko
Olikos se niin, että Linux-koneissa pitää se vanha salasana erikseen poistaa (tässä tapauksessa root), kun luo uuden tai muuten se vanhakin salasana on edelleen voimassa? Hämärästi sellaista muistelen.

Vanhoissa Linux-versioissa ei ollut rootilla oletuksena salasanaa lainkaan. Sudolla voi vaihtaa voimassa olevan pääkäyttäjäm salasanan ja muistaakseni sen jälkeen ei tarvitse vanhaa salasanaa tappaa erikseen. Itselläni ei ole tällä hetkellä Linuxia palvelinkäytössä, vain työasemassa (Mint), joten en pysty testaamaan.
 

Morgoth

Jäsen
Vanhoissa Linux-versioissa ei ollut rootilla oletuksena salasanaa lainkaan. Sudolla voi vaihtaa voimassa olevan pääkäyttäjäm salasanan ja muistaakseni sen jälkeen ei tarvitse vanhaa salasanaa tappaa erikseen.

Ei tarvitse eikä missään vähänkään järkevämmässä systeemissä ole edes salittuna kirjautua suoraan roottina palvelimelle. Eihän tuossa ole mietitty oikeastaan mitään tietoturvan kannalta.Kaiken kruunaa mikäli tuo on ihan oikeasti ollut avoimena internetiin.

Mikäli asiaa on tosiaan ollut noin niin sen palvelimen on taatusti korkannut moni muukin, mutta ovatko sitten olleet kiinnostuneita potilastietokannasta tätä kiristäjää lukuunottamatta. En oikein keksi nopeasti hyvää vertausta reaalimaailmassa, mutta eihän vastaamon johto tätä vastuuta voi millään paeta tai tuo voi olla millään tavalla asiallisesti hoidettu. Kukas tuosta sitten joutuu vastuuseen? Toimari ja yhtiön hallitus lopulta? Sitä en osaa arvioida millaisia tuomiota on mahdollisesta antaa.

Mikäli murto tapahtunut jo 2018 vuonna niin mitä tässä on kaksi vuotta tapahtanut? Ettei vain kiristäminen olisi alkanut jo aikaisemmin ja tässä no jotain muutakin kuin mitä toistaiseksi tullut ilmi? Tuo omistajavaihdos ihan mielenkiintoinen kuvio.
Toki olla sattumaakin.
 

DAF

Jäsen
Suosikkijoukkue
se kolmikirjaiminen. PISTI PALLON MAALIIN
Teeman ympärillä käydyssä keskustelussa on pari ongelmaa/vinoumaa.

Tässä on kyse paljon suuremmasta ja rankemmasta asiasta kuin siitä, että se ja tämä henkilö on käynyt vastaanotolla ja "on ihan ok käydä psykoterapiassa". Siitä, mitä siellä sisällöissä on - tai mikä kohteen tunne on, mitä siellä on. Mitä kaikkea on kertonut terapiassa läheisistään, itsestään, vaikkapa työpaikan sivusuhteesta, virallisesta parisuhteestaan, sukulaisistaan, lapsuuden hyväksikäyttökokemuksista jne. jne. Siinä tilanteessa on täysin samantekevää, mitä de facto siellä tiedoissa lukee - kaikki tämä voi uhrin näkökulmasta siellä lukea, ja kaikki se pelottaa. Ei se, että "joku saa tietää että kävin terapiassa". Todella rankka, elämään vaikuttava pelko, jota kaikki eivät välttämättä kestä.

Tästä syystä vähän ihmetyttää, että julkikeskustelussa edelleen ollaan lähinnä huolissaan ja ohjeistetaan siitä, jos henkilötunnus tms. on vuotanut. Ne ovat aika lailla sivuseikka tässä uhrien osalta. Samalla ne uhrit, joita on saatu haastatteluun ovat jutuissa huolissaan lähinnä hetusta, koska terapiassa ei heidän kertomansa mukaan ole käsitelty mitään erityistä. Tämä jopa peittää sek keskustelun ihmisistä, jotka ovat nyt piilossa jossain kiven alla ja harkitsevat tämän johdosta jopa elämänsä päättämistä. Eivät he anna edes "nimi muutettu"-haastatteluja Ylelle tai Hesarille.

Tämä on tämän kuvottavan rikoksen suurin juttu. Tietoturvan petraamiseen tämä toivottavasti johtaa, samoin ehkä hetujärjestelmän uusimiseen, GDPR-korvauksiin jne., mutta näiden ihmisten elämän pilaamista ja mahdollista itsemurhaa ne eivät peruuta.
 

jussi_j

Jäsen
Suosikkijoukkue
Jokerit
Olikos se niin, että Linux-koneissa pitää se vanha salasana erikseen poistaa (tässä tapauksessa root), kun luo uuden tai muuten se vanhakin salasana on edelleen voimassa? Hämärästi sellaista muistelen.
Linukoissa ei oletuksena ole rootilla salasanaa lainkaan, eikä sitä pitäisi aktivoida, vaan aina käyttää henkilökohtaisia tunnareita. Voi olla, että jossain distrossa on, mutta ainakaa mitä itse olen käyttänyt RH , ubuntu ja mint.
 

Tinke-80

Jäsen
Suosikkijoukkue
HIFK, Haukat
Oisko kyseessä että tietokannan hallintatyökalu phpmyadmin olisi ollut nettiin päin avoimena?

Tässä vielä tekniseltä kannalta ihan mielenkiintoinen tweettaus:
 
Viimeksi muokattu:

Petri1981

Jäsen
Suosikkijoukkue
NHL, NFL, NBA, Valioliiga, UCL
Onko Vastaamo kommentoinut vielä mitenkään suuremmin tätä tapausta?

Vastaamon toimitusjohtaja Ville Tapio on vetäytynyt täysin maan alle ja pysytellyt hiljaa. Ihan naurettavaa touhua yhtiön toimitusjohtajalta, ja kertoo osaltaan siitä, millainen johtamisen ja vastuunkannon kulttuuri kyseisessä yhtiössä on valloillaan.

Teeman ympärillä käydyssä keskustelussa on pari ongelmaa/vinoumaa.

Tässä on kyse paljon suuremmasta ja rankemmasta asiasta kuin siitä, että se ja tämä henkilö on käynyt vastaanotolla ja "on ihan ok käydä psykoterapiassa". Siitä, mitä siellä sisällöissä on - tai mikä kohteen tunne on, mitä siellä on. Mitä kaikkea on kertonut terapiassa läheisistään, itsestään, vaikkapa työpaikan sivusuhteesta, virallisesta parisuhteestaan, sukulaisistaan, lapsuuden hyväksikäyttökokemuksista jne. jne. Siinä tilanteessa on täysin samantekevää, mitä de facto siellä tiedoissa lukee - kaikki tämä voi uhrin näkökulmasta siellä lukea, ja kaikki se pelottaa. Ei se, että "joku saa tietää että kävin terapiassa". Todella rankka, elämään vaikuttava pelko, jota kaikki eivät välttämättä kestä.

Tästä syystä vähän ihmetyttää, että julkikeskustelussa edelleen ollaan lähinnä huolissaan ja ohjeistetaan siitä, jos henkilötunnus tms. on vuotanut. Ne ovat aika lailla sivuseikka tässä uhrien osalta. Samalla ne uhrit, joita on saatu haastatteluun ovat jutuissa huolissaan lähinnä hetusta, koska terapiassa ei heidän kertomansa mukaan ole käsitelty mitään erityistä. Tämä jopa peittää sek keskustelun ihmisistä, jotka ovat nyt piilossa jossain kiven alla ja harkitsevat tämän johdosta jopa elämänsä päättämistä. Eivät he anna edes "nimi muutettu"-haastatteluja Ylelle tai Hesarille.

Tämä on tämän kuvottavan rikoksen suurin juttu. Tietoturvan petraamiseen tämä toivottavasti johtaa, samoin ehkä hetujärjestelmän uusimiseen, GDPR-korvauksiin jne., mutta näiden ihmisten elämän pilaamista ja mahdollista itsemurhaa ne eivät peruuta.

Tämä. Kaikella kunnioituksella, kyllähän tuo hetu voidaan nykyään varastaa käytännössä ihan mistä vain, eikä se ole tämän rikoksen tragedia.
 
Viimeksi muokattu:

Tadu

Jäsen
Suosikkijoukkue
Україна

"Sen sijaan Vastaamon toimitusjohtaja ja potilastietojärjestelmän kehittäjä Ville Tapio on pysytellyt hiljaa. Esimerkiksi Iltalehti on yrittänyt tavoitella Tapiota lukuisia kertoja onnistumatta siinä."

Tässä kappaleessa olennainen jos ei halua lukea Iltapaskan uutista.
 

Tuamas

Jäsen
Tämä. Kaikella kunnioituksella, kyllähän tuo hetu voidaan nykyään varastaa käytännössä ihan mistä vain, eikä se ole tämän rikoksen tragedia.

Kyllä, todennäköisesti meillä on nyt vähintään tuhansia ihmisiä, joiden yksityisistä yksityisimmät asiat on tuotu saalistajien ja muiden kusipäiden saataville.

Tästä on jo mm. Panu Huuhtanen haastanut seuraajiaan kaivamaan poliittisten vastustajien potilaskertomuksia, jotta pääsevät niitä julkaisemaan MV-lehdessä ja muissa hörhömedioissa.

Hetut ovat tosiaan harmillinen vuoto, käytännössä pieni sivuseikka, josta voi aiheutua tilapäistä haittaa kohteille, mutta paljon isompi asia ovat nuo potilaskertomukset.
 

mjr

Jäsen
Suosikkijoukkue
Suomen maajoukkueet
Tästä on jo mm. Panu Huuhtanen haastanut seuraajiaan kaivamaan poliittisten vastustajien potilaskertomuksia, jotta pääsevät niitä julkaisemaan MV-lehdessä ja muissa hörhömedioissa.
Siis todellako? Ei luoja näitä tyyppejä, mitä limanuljaskoja. Anyway, hetut on tosiaan pieni juttu, mutta myös todella helppo korjata. Niin että miksi ei siis korjattaisi. Taisi olla perssuomalaiset, jotka halusivat että siitä edelleen näkyy sukupuoli, syntymäaika ja epäilemättä puoluekantakin ja että on rahantuhlausta modernisoida järjestelmä?
 

aquanqua

Jäsen
Suosikkijoukkue
HIFK

"Sen sijaan Vastaamon toimitusjohtaja ja potilastietojärjestelmän kehittäjä Ville Tapio on pysytellyt hiljaa. Esimerkiksi Iltalehti on yrittänyt tavoitella Tapiota lukuisia kertoja onnistumatta siinä."

Tässä kappaleessa olennainen jos ei halua lukea Iltapaskan uutista.

Jos puhutaan "Suomen historian merkittävimmästä" tietoturvaskandaalista, niin olisi todella kummallista, jos esim. Tapion asemassa oleva henkilö olisi antamassa julkisuuteen lausuntoja ennen kuin asiat ovat tarvittavissa määrin selvillä ja käyty läpi juristien ja muiden asiantuntijoiden kanssa. Nythän on edessä todella isojen oikeudellisten vastuukysymysten setviminen vaikka missä eri tahojen välisissä suhteissa ja kysymyksissä – siis suhteissa/kysymyksissä, jotka eivät tällä hetkellä välttämättä edes ole kunnolla hahmotettavissa. Näitä tullaan käymään oikeudessa läpi vuosia.

Voin vain kuvitella, minkälainen damage control -tilanne on päällä eri tavoilla asiaan liittyvissä lafkoissa ja lafkoissa/yksittäisten henkilöiden piirissä, joilla on kiusallista tietoa vaarantunut.
 
Viimeksi muokattu:

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Voin vain kuvitella, minkälainen damage control -tilanne on päällä eri tavoilla asiaan liittyvissä lafkoissa ja lafkoissa/yksittäisten henkilöiden piirissä, joilla on kiusallista tietoa vaarantunut.
No pari päivää ja n. 40€ on tähän mennessä palanut omaa aikaa ja rahaa tähän. Ei kauheasti naurata, vaikka tiedänkin sattuneesta syystä jo etukäteen, että mitä tietoja minusta on tuolla (olin sattumalta avioeroa varten pyytänyt kaikki tiedot Vastaamosta jo pari vuotta sitten). Siinä mielessä mulla on hyvä tilanne, että tiedän ettei minusta mahdollisesti julkaistavat tiedot ole missään määrin haitallisia, lähinnä yleisiä kirjauksia. Mutta en edes tahdo miettiä mitä joku monivuotisen intensiiviterapian läpikäynyt henkilö on tuonne mahtanut tilittää...

Ja nyt kun tässä on tehnyt eri paikkoihin eri estoja, niin muutama ajatus on herännyt.
- Miksi ihmeessä vuonna 2020 edelleen pannaan netistä printatulle lomakkelle, jossa on allekirjoitus, minkäänlaista painoarvoa? Ei tuo ole mikään tunnistautuminen, ja mistä se vastaanottaja tietää millainen kenenkin nimikirjoitus on?
- Miksi luoton ottamisen esto tehdään yksityisen palvelutuottajan kautta, joita on vielä kaksi eri toimijaa ja molemmat veloittavat siitä?
- Miksi esim Klarna voi myöntää luottoa pelkkää henkilötunnusta vastaan ja siirtää vastuun tästä henkilötunnuksen omistajalle?
 

Morgoth

Jäsen
Tässä kappaleessa olennainen jos ei halua lukea Iltapaskan uutista.

Kuvittelevatko vielä oikeasti, että palkkaamalla jonkun mediakonsultin firman tarina vielä jatkuu? Ei kai kukaan tuonne enää mene potilaaksi?

Se ei yllätä, että siellä joku Tekri on pumppaamassa rahat irti tuoltakin johonkin älyttömään hintaa luultavasti ennen kuin mahdollisia vahingonkorvauksia jouduttaisiin maksamaan ja kassa tyhjä. Kiva naureskella matkalla pankkiin.
 

moby

Jäsen
Suosikkijoukkue
JYP(#42)
Kaikkien yrittäjien kannattaa miettiä noita IT-hommiaan, eikä pelkästään tietoturvan kannalta. Ei välttämättä kannata väsätä mitään omia systeemejä, vaikka osaamista olisikin. Tässäkin tapauksessa yksi yrittäjistä on näin tehnyt ja homma on jäänyt retuperälle ja saletisti ilman dokumentaatiota. Tein itse ja säästin voi IT-hommissa iskeä takaisin pahasti, jos vaikka satut jäämään auton alle ja olet ainoa kuka siitä järkästä tietää mitään.

Toinen mikä on useasti pienyrittäjillä perseellään, on tietojen säilytys/varmuuskopiointi. Laittakaa ne tiedot edes vaikka Google Driveen tms. ilmaiseen pilvipalveluun. Koneen hajotessa/sekoillessa tulee hätä kun häviää yrityksen päivittäiselle toiminnalle/kehittämiselle erittäin tarpeellista dataa.

Olen paria yrittäjää joskus auttanut tiedon palautuksessa ja ovat kyllä olleet ikionnellisia kun tiedot on saatu kohtuu vähällä vaivalla takaisin.
 

Konalan Kettu

Jäsen
Suosikkijoukkue
HIFK
- Miksi esim Klarna voi myöntää luottoa pelkkää henkilötunnusta vastaan ja siirtää vastuun tästä henkilötunnuksen omistajalle?

Syynä varmaan se, että luottotappioita ei tule tarpeeksi. Ei velaksi myynissä ole ymmärtääkseni suuremmin sääntelyä (paitsi visiin tupakan ja viinan osalta). Mikään ei estä esim. autoliikettä toimittamasta arvokasta autoa pelkän puhelin soiton perusteella ja lähettämästä laskua perään. Laskua voi ihan periäkkin, mutta jos asiakas sitten keskeyttää perinnän on myyjäliike heikoilla.

Perintälaissa annetaan velalliselle oikeus keskeyttää yksityisoikeudellinen perintä, jolloin seuraava aste on käräjäoikeus ja sinne on taas Klarnan hankala lähteä "tilaaja tiesi hetun, joten kyllä se oli se" perusteella. Suomalaiset ovat kovin tunnollisia eivätkä oikein tunne oikeuksiaan ja sen johdosta kaiken maailman pelottelut tehoavat hyvin.
 

Petri1981

Jäsen
Suosikkijoukkue
NHL, NFL, NBA, Valioliiga, UCL
Jos puhutaan "Suomen historian merkittävimmästä" tietoturvaskandaalista, niin olisi todella kummallista, jos esim. Tapion asemassa oleva henkilö olisi antamassa julkisuuteen lausuntoja ennen kuin asiat ovat tarvittavissa määrin selvillä ja käyty läpi juristien ja muiden asiantuntijoiden kanssa. Nythän on edessä todella isojen oikeudellisten vastuukysymysten setviminen vaikka missä eri tahojen välisissä suhteissa ja kysymyksissä – siis suhteissa/kysymyksissä, jotka eivät tällä hetkellä välttämättä edes ole kunnolla hahmotettavissa. Näitä tullaan käymään oikeudessa läpi vuosia.

Voin vain kuvitella, minkälainen damage control -tilanne on päällä eri tavoilla asiaan liittyvissä lafkoissa ja lafkoissa/yksittäisten henkilöiden piirissä, joilla on kiusallista tietoa vaarantunut.

Öö, kyllä esimerkiksi BP:n Meksikonlahden öljyonnettomuudessa heti seuraavana päivänä CEO Tony Hayward antoi lausunnon, jossa hän vakuutti että kaikki mahdollinen tehdään tilanteen selvittämiseksi ja vuodon korjaamiseksi.
Ei siinä sen kummempia tuossa vaiheessa yhtiön keulakuvalta ja operatiiviselta johtajalta tarvita, kuin osoittaa että parhaamme teemme. Toki BP:n tapauksessa tämän jälkeen Hayward antoi paljon kontroversiaaleja ja huonosti valmisteltuja lausuntoja. Se ei poista sitä tosiasiaa, että täydellinen piiloutuminen on aivan helvetin urpoa.
 

Tadu

Jäsen
Suosikkijoukkue
Україна
Viimeksi muokattu:

VT

Jäsen
Suosikkijoukkue
HIFK
Siis todellako? Ei luoja näitä tyyppejä, mitä limanuljaskoja. Anyway, hetut on tosiaan pieni juttu, mutta myös todella helppo korjata. Niin että miksi ei siis korjattaisi. Taisi olla perssuomalaiset, jotka halusivat että siitä edelleen näkyy sukupuoli, syntymäaika ja epäilemättä puoluekantakin ja että on rahantuhlausta modernisoida järjestelmä?
Millä tavalla henkilötunnusjärjestelmän muuttaminen estäisi henkilötunnuksen väärinkäytön? Miksi siis tämä pitäisi korjata? If it ain't broke, don't fix it.

Identiteettivarkaus- ja väärinkäytöstilanteissa henkilötunnus voidaan nytkin hakemuksesta muuttaa. Nykyisessä henkilötunnuksessa ei ole mitään vikaa, päinvastoin, se on helppo muistaa ja käyttäjälleen siksi kätevä. Henkilötunnuksen tarkoitus on olla yksilöivä tunnus, jota käytetään henkilöiden yksilöintiin. Yhä enemmän asiointi alkaa mennä sähköisiin varmenteisiin ja nyt tapahtunut varmasti vaan vauhdittaa kehitystä.
 

Cloaca Maxima

Jäsen
Suosikkijoukkue
TPS, Philadelphia Flyers

Huh huh. Tästä kirjoitin aiemmin. TJ on tiennyt tietomurroista ja myynyt uusille omistajille firman kertomatta tietomurroista. Aikamoinen koijaus!

Ei ihme ettei TJ kommentoinut mitään.

Käsittämätöntä touhua, mutta uutisessa kuitenkin mainitaan, että toisen tietomurron yhteydessä TJ on _todennäköisesti_ tiennyt asiasta. Jättää kuitenkin edelleen spekuloinnille sijaa.
 
(1)
  • Tykkää
Reactions: Tadu

ndal88a

Jäsen
Suosikkijoukkue
KooVee, Tampere
Oisko kyseessä että tietokannan hallintatyökalu phpmyadmin olisi ollut nettiin päin avoimena?

Tässä vielä tekniseltä kannalta ihan mielenkiintoinen tweettaus:
Tästä olen itsekin kuullut, vanha phpmyadmin versio ja mysql:n tunnukset root:root.

JOL
 
Kirjaudu sisään, jos haluat vastata ketjuun. Jos sinulla ei ole vielä käyttäjätunnusta, rekisteröidy nyt! Kirjaudu / Rekisteröidy
Ylös