Vastaamo.fi tietovuoto - keskustelu ja seuranta

[Kautium]

Ketju on tarkoitettu yleiseen keskusteluun sekä tapahtumien kehittymisen seurantaan koskien Vastaamo.fi psykoterapiakeskuksen tietovuotoa.

Poliisin tiedote:

Poliisi - Tiedotteet

Ajankohtaista: Vastaamon tiedotteet ja uutiset

Ajankohtaista | Psykoterapiakeskus Vastaamo

Vastaamon ajankohtaiset tiedotteet ja uutiset

vastaamo.fi

-------------------

20-21.10.2020 alkoi näkymään eri keskustelufoorumeilla viitteitä siitä, että mm. Helsingissä, Oulussa, Tampereella, Turussa ja Jyväskylässä toimivan psykoterapiakeskus Vastaamon tietojärjestelmiin on murtauduttu ja sieltä on anastettu noin 40 000 asiakkaan arkaluontoisia potilastietoja näiden lääkärikäynneistä. Mukana on ollut ilmeisesti myös ainakin OYS:n ja TAYSin potilaiden tietoja. Tämänhetkisten tietojen mukaan vuodetut tiedot ovat peräisin ajalta ennen marraskuuta 2018. Varkaat ovat päätyneet tietojen suoran julkistamisen sijaan kiristämään Vastaamoa ja kun rahaa ei ole irronnut ja yhteydenpito on katkaistu, ilmoittivat nämä julkistavansa tietoja vähitellen (100 henkilön tiedot päivittäin). Tätä kirjoitettaessa on julkaistu ilmeisesti 300 henkilön tiedot. Edit. Sittemmin kiristäjä muutti taktiikkaa ja päätyi kiristämään yksittäisiä asiakkaita. On myös selvinnyt, että tietomurtoja on ollut muutaman kuukauden sisällä kaksi kappaletta.

Keskusrikospoliisi tutkii asiaa, mutta Tor-verkossa julkaistujen tietojen poistamisen suhteen keinot ovat hyvin rajalliset, varsinkin mikäli itse tekijää/tekijöitä ei saada kiinni.

Suomessa ja maailmalla on aiemminkin päätynyt julkisuuteen luottokorttitietoja ja henkilötunnuksia jne, mutta ne ovat pikkujuttuja tähän verrattuna. Nyt on kyse tilanteesta, jossa lääkäri on raportoinut potilastietoihin kaikkien olennaisten henkilötietojen lisäksi näiden lääke/huumeongelmista, väkivaltafantasioista, seksuaaliongelmista, sukulaisten hyväksikäytöstä, alkoholismista, pahoinpitelyistä, pettämisestä, lääkityksestä ja ties mistä ja nämä tiedot ovat nyt kolmannen osapuolen hallussa. Tällaisilla on varmasti kauaskantoisia seurauksia työnhaussa ja parisuhteissa ja ihan missä tahansa asianomaisen omasta mielenterveydestä lähtien. Ei siis ollut kyse mistään työterveyslääkärin vastaanotosta, josta olisi haettu saikkua nuhan vuoksi.

Vastaamon toiminta ja kommentointi on ainakin tähän saakka vaikuttanut vähättelevältä ja välinpitämättömältä (tyyliin "toiminta jatkuu normaalisti"), eikä se ole oikeastaan mikään ihme, jos tosiaan normaalisti pelkästään yrityksen omassa sisäverkossa saatavilla oleviin palveluihin on päästy murtautumaan Internetin kautta ja ilmeisesti vieläpä oletussalasanoilla. Tietoja ei myöskään oltu salattu, eli siellä on tehty hyvin perustavaa laatua olevia kämmejä kriittisen tiedon suojaamisessa jo pidemmän aikaa.

Julkaistut tiedot ovat ikävä kyllä kenen tahansa selväkielisesti luettavissa, jos vain osaa etsiä. Ei siis tarvitse murtaa salauksia, eikä höyryttää kirjekuoria. Suomen laki ei käsittääkseni pysty leimaamaan sisällön katsojaa/lukijaa rikolliseksi, mutta se on eri asia, jos hilloaa tietoja omalle koneelle tai levittää niitä edelleen missään muodossa, siinä hypätään jo ihan eri tasolle ja alkaa syytekohtia löytymään. Edit. KRP:n tutkinnanjohtaja on tästä tosin sitä mieltä, eli hänen näkemyksensä mukaan pelkkä katselukin voi olla rikos (lähde).

ransom_man -nimimerkillä esiintyvän haxorin ilmoitus tietojen julkistamisesta:

HUOM! Tähän ketjuun ei saa postata linkkejä tai ohjeita julkaistun materiaalin löytämiseksi! Niin tekemällä syyllistyt todennäköisesti rikokseen. Sama juttu ylipäätään potilastietojen osalta, eli niistä ei täällä puhuta, vaikka niitä olisi jossakin nähnyt.

Uutisia aiheesta:

Useat tahot tutkivat psykoterapiakeskus Vastaamon tietomurtoa ja kiristystä – Kyberturvallisuuskeskus pitää tapausta poikkeuksellisena

KRP kertoo tutkivansa törkeää tietomurtoa, mutta ei toistaiseksi vahvista yrityksen nimeä.

yle.fi

Tietomurrot | Potilaiden tietoja vietiin psykoterapiakeskuksen tietomurrossa, yritys kertoo joutuneensa kiristyksen uhriksi

Vastaamolla ole tarkkaa tietoa siitä, kuinka monen ihmisen tiedot ovat vuotaneet. Yhtiöllä on kymmeniätuhansia asiakkaita ympäri Suomen.

www.hs.fi

Hakkeri korkkasi suomalaisen psykoterapiakeskuksen – uhkaa julkaista potilastiedot ellei muhkeita lunnaita makseta

Keskusrikospoliisin rikoskomisario Marko Leponen kertoo, että kuvauksen mukainen tapaus on keskusrikospoliisin tutkinnassa.

www.mikrobitti.fi

Syyllistyykö rikokseen, jos katselee Tor-verkossa julkaistuja potilastietoja? Näin vastaa professori

Kiristäjät ovat tiedotusvälineiden tietojen mukaan julkaisseet arkaluonteisia Psykoterapiakeskus Vastaamon asiakkaiden potilastietoja Tor-verkossa.

www.tivi.fi

Toimintaohjeita tietovuodon uhreille:

Terapia-asiakkaiden kiristysskandaalissa jopa kymmeniätuhansia uhreja: Toimi näin, jos epäilet tietojesi vuotaneen nettiin

Näin ilmoitat rikosepäilystä ja suojaat tietojasi.

www.iltalehti.fi

Rikosuhripäivystys: Toimi näin, jos tietojasi on vuodettu verkkoon - Stara

Mediassa on kerrottu viime päivinä hakkereiden julkaisseen Psykoterapiakeskus Vastaamon asiakkaiden arkaluonteisia tietoja nettiin. Kyseessä on kiristystoimenpide, jonka avulla rikolliset yrittävät saada lunnaita. Taho vaatii 450.000 euroa eli 40 bitcoinia. Tiedot ovat arkaluonteisia...

www.stara.fi

 

[Alatuberkuloosi]

edit samat asiat aloituksessa

 

[ollyz]

Niin vielä, tästä otin niin nokkiini että kävin omakanta-palvelussa estämässä kaiken mahdollisen tiedon välittämisen millekään osapuolelle. No, hammaslääkärikäynnit jätin. (en tiedä onko tästä iloa jos tiedot säilötty yhtä hyvin kuin Vastaamon tapauksessa) Jotenkin romahti kertaheitolla usko koko tähän Suomen hienoon sote-digitalisaatioon. Jos siellä tosiaan joku "Viljamin veli" tai Tieto-yhtymän/CGI:n konsultti suunnittelee ja koodaa sutta ja sekundaa, niin ei oikein hyvältä näytä. Eikös se Apotti-hanke kanssa mennyt päin honkia, mitä olen kuullut.

 

[Tonnin Seteli]

Jotenkin romahti kertaheitolla usko koko tähän Suomen hienoon sote-digitalisaatioon.

Pahoin pelkään että tämä kehitys ei kulje ainakaan parempaan suuntaan. Asiakashan ei välttämättä tiedä tai tiedosta asioivansa käytännössä autotallissa tai mutsin kellarissa pyöritettävässä puuhafirmassa, kun käy "julkisella" tai "työterveydessä".

Kaikkiaan uskomaton kokonaisuus. Eihän tuolla ole edes yritetty. Mitään.

 

[k334]

Tästä löytyy mielenkiintoisia skenaarioita mm Hlö x kertoo psykiatrille tehneensä petoksen Hlö y kohtaan ja potee huonoa omatuntoa.

Nyt tämä tieto paljastuu tuossa vuodossa, mitä tekee hlö y ja voiko hän käyttää vuotomateriaalia tuekseen ja alkaa ajamaan asiaa eteenpäin?

 

[hsalonen]

Niin vielä, tästä otin niin nokkiini että kävin omakanta-palvelussa estämässä kaiken mahdollisen tiedon välittämisen millekään osapuolelle. No, hammaslääkärikäynnit jätin. (en tiedä onko tästä iloa jos tiedot säilötty yhtä hyvin kuin Vastaamon tapauksessa) Jotenkin romahti kertaheitolla usko koko tähän Suomen hienoon sote-digitalisaatioon. Jos siellä tosiaan joku "Viljamin veli" tai Tieto-yhtymän/CGI:n konsultti suunnittelee ja koodaa sutta ja sekundaa, niin ei oikein hyvältä näytä. Eikös se Apotti-hanke kanssa mennyt päin honkia, mitä olen kuullut.

Apotti on yksi pökäle, josta näki jo alussa, että kilpailutettu väärin. Ja oikeuttakin käytiin aiheesta. Ja edelleen, Apotista valittivat markkinaoikeuteen Tieto ja CGI - molemmat valitukset hylättiin, eikä heistä kumpaakaan valittu toteuttamaan järjestelmää. Järjetelmän toimitti Epic ja heillä oli joku partnerikin, mutta se on hiljaisesti poistettu sivuilta, kun ei täysin mennyt putkeen tuo. Nyt kyllä vähän tarkkuutta tähän kommentointiin. Ei mutuviestejä , varsinkin kun tätä on nyt viisi vuotta veivattu edestakaisin.

Lisäksi Apotissa kriteereitä muutettiin kesken kilpailutuksen ja muuta jännää, josta olisin suonut poliisitutkintaa niihin virkamiesten toimintaan, tai vähintään potkut siinä vaiheessa, kun on budjetti kaksinkertaistunut, eikä vieläkään toimi ja aikataulusta myöhässä. Tämä omana henkilökohtaisena mielipiteenä ja tätä keskustelua voisi jatkaa jossain muualla, kun Apotti ei vieläkään ole kaikille selvä projekti, vaikka siitä on pieni ikuisuus jauhettu.

--

Tietosuojavastaavalla (jos tuo linkki pitää paikkaansa) on ainakin tarvittava koulutus, mutta tämän tekstin perusteella tietokanta/järjestelmäasennukset on täysin päin persettä. Niin huonoja, että joku datanomi tekisi paremmin.

En keksi tähän mitään muuta syytä, kuin että nuo kaverit ovat vaan koodanneet järjestelmän, ja jättäneet asennukset jollekin muulle. Sitten on käynyt niinkuin rakennustyömailla, niin halpatyövoima on hoitanut sen huonoimman duunin ja hoitanut sen huonosti. Ketään ei ole vastuussa ja hinta on painettu alas ja nähtävästi nuokin sankarit eivät ole Vastaamon palkkalistoilla, vaan yrityksensä kautta myyvät palveluita. Niin kokonaiskuva puuttuu ja käteen jäi paskaa. Kielikuvat on voimakkaita, mutta yksikään teekkari ei kyllä tekisi näin vastuullaan olevaan järjestelmään - tai miten hän edes on saanut kursseja läpi?

Olen ollut ylläpitämässä järjestelmiä, joissa on satoja käyttäjiä ja jos tietoturva olisi ollut tätä luokkaa, olisin odottanut potkuja seuraavana päivänä. Tai vähintään potkuja projektista ja kirjallista varoitusta. Nyt jopa ylläpitämäni WoW-killan sivut joskus kauan sitten olivat paremmalla tietoturvalla ja ne oli minimieffortilla laitettu pystyyn

 

[ollyz]

Apotti on yksi pökäle, josta näki jo alussa, että kilpailutettu väärin. Ja oikeuttakin käytiin aiheesta. Ja edelleen, Apotista valittivat markkinaoikeuteen Tieto ja CGI - molemmat valitukset hylättiin, eikä heistä kumpaakaan valittu toteuttamaan järjestelmää. Järjetelmän toimitti Epic ja heillä oli joku partnerikin, mutta se on hiljaisesti poistettu sivuilta, kun ei täysin mennyt putkeen tuo. Nyt kyllä vähän tarkkuutta tähän kommentointiin. Ei mutuviestejä , varsinkin kun tätä on nyt viisi vuotta veivattu edestakaisin.
--
Tietosuojavastaavalla (jos tuo linkki pitää paikkaansa) on ainakin tarvittava koulutus, mutta tämän tekstin perusteella tietokanta/järjestelmäasennukset on täysin päin persettä. Niin huonoja, että joku datanomi tekisi paremmin.

No käytin Tietoa/CGI:tä esimerkkinä (en muistanut kuka Apotin loppupeleissä toimittaa) kun niiltäkin referenssiä löytyy proggiksista mitkä ei menny ihan putkeen. Ja olet oikeassa, jos asiakas saa päähänsä kesken projektin ratkaisevalla tavalla muuttaa vaatimuksia niin ei siinä ketterät menetelmätkään enää paljon auta. Eli tyypillinen pieleen mennyt julkishallinnon projekti, arvatenkin asiakasorganisaatiosta nakitettu matkaan henkilöitä jotka ei aiheesta ymmärrä enempää kuin sika tinalusikasta, ja näitä sitten vaihdeltu kesken homman. Onnistumisen mahdollisuudet tuossa aika vähäiset, mutta et liene kiistä sitä, että järjestelmä aika paska jos lääkäreistä lähtien sen kaikki haukkuu.

Nuo Lataamon nimet nyt nopsasti katsoin linkedinistä, varmaan ihan samat naamat töissä. Ei tuo Vastaamon toiminta kyllä kestäisi minkäänlaista auditointia äkkiseltään sanottuna, liekkö moista edes tehty. Että virkamieskentälläkin peiliin katsomisen paikka.

 

[hsalonen]

No käytin Tietoa/CGI:tä esimerkkinä (en muistanut kuka Apotin loppupeleissä toimittaa) kun niiltäkin referenssiä löytyy proggiksista mitkä ei menny ihan putkeen.

Huoh.. Siis ei tuonkokoisissa firmoissa ole tietoturva tällä tasolla, kun niiden tietoturvaosastot ei yksinkertaisesti anna näin tapahtua. Siellä on vastaavat henkilöt, jotka takaavat, että oikeudet jaettu minimitasolla - eli jokainen pääsee tekemään vain oman osuutensa. Lisäksi ylläpito on oman yksikkönsä, jossa on asiantuntijoita ylittämässä tason "default password", vaikka olisivat vain harjoittelemassa siellä. Tiedon ongelmat potilasjärjestelmissä on enemmänkin, ettei toimi, eikä niin, että joku näkee kaikkien tiedot ja ne on siellä selväkielisenä levyllä.

Ja olet oikeassa, jos asiakas saa päähänsä kesken projektin ratkaisevalla tavalla muuttaa vaatimuksia niin ei siinä ketterät menetelmätkään enää paljon auta.

En tarkoittanut tätä. Tarkoitin, että asiakas on järjestellyt kulurakenteensa niin, että järjestelmän toimittaja ja infran ylläpitäjä eivät ole sama taho. Tämä on ihan yleistä suuremmissa yrityksissä. Sitten laitetaan asennukset halvimman tarjouksen voittaneelle puljulle, jolla on kiinteä kuukausilaskutus, niin eihän siihen käytetä yhtään ylimääräistä aikaa ja laiteta parasta asiantuntijaa tekemään niitä asennuksia..

Eli tyypillinen pieleen mennyt julkishallinnon projekti, arvatenkin asiakasorganisaatiosta nakitettu matkaan henkilöitä jotka ei aiheesta ymmärrä enempää kuin sika tinalusikasta, ja näitä sitten vaihdeltu kesken homman. Onnistumisen mahdollisuudet tuossa aika vähäiset, mutta et liene kiistä sitä, että järjestelmä aika paska jos lääkäreistä lähtien sen kaikki haukkuu.

Kyllä Apotissa oli samat henkilöt käsittääkseni koko kilpailutuksen ajan. Kriteereitä vaan vaihdeltiin, niin, että Epic , joka ei alunperin olisi edes voinut jättää tarjousta, mahtuu mukaan. Vähän niinkuin pedattiin Epicille tuo diili. Nyt voisi jälkipuintina katsella, ovatko minkälaista kompensaatiota tästä järjestelystä saaneet virkamiehet, vai olivatko vain tyhmiä. Apotti on projekti , josta voitaisiin oppia paljon , jos vaan sitä puolueettomasti tutkittaisiin. Siinä kun pieleen meni vähän kaikki. Suosittelen tutustumaan vähintään Wikipediaan:

Apotti (potilastietojärjestelmä) – Wikipedia

fi.wikipedia.org

..mutta jätetään se Apotti tähän, ja jatketaan siitä toisessa ketjussa. Itse alalla työskentelevänä kyllä haluaisin, että tästä joku tekisi gradunsa/väitöskirjan.

 

[juhei]

Onko mitään tietoa onko näillä ollut käytössä ihan oikea potilastietojärjestelmä vai joku DIY purkkaviritys

 

[juhei]

Niin vielä, tästä otin niin nokkiini että kävin omakanta-palvelussa estämässä kaiken mahdollisen tiedon välittämisen millekään osapuolelle. No, hammaslääkärikäynnit jätin. (en tiedä onko tästä iloa jos tiedot säilötty yhtä hyvin kuin Vastaamon tapauksessa) Jotenkin romahti kertaheitolla usko koko tähän Suomen hienoon sote-digitalisaatioon. Jos siellä tosiaan joku "Viljamin veli" tai Tieto-yhtymän/CGI:n konsultti suunnittelee ja koodaa sutta ja sekundaa, niin ei oikein hyvältä näytä. Eikös se Apotti-hanke kanssa mennyt päin honkia, mitä olen kuullut.

Kela vahtii noita Kanta-yhteensopivia järjestelmiä eli sinne ei pääse tietenkään liittymään ihan vaan sillä että sanoo että on meillä joku järjestelmä käytössä.

 

[ollyz]

..mutta jätetään se Apotti tähän, ja jatketaan siitä toisessa ketjussa. Itse alalla työskentelevänä kyllä haluaisin, että tästä joku tekisi gradunsa/väitöskirjan.

Juu, samaa mieltä. Veikkaan, että tämän Vastaamo-keissin käsittely jatkuu vielä pitkään. Ehdotonta ei varmaan firman johtajille Suomessa juuri jaettu (joku törkeä ympäristörikos Lievestuoreella vuonna keppi ja kivi). Tässä olis kyllä aineksia kovempaankin sanktioon.

 

[exkomura]

Nämä nettipalvelut on siitä kinkkisiä että jos hakkeriryhmä ottaa firman x kohteeksi niin sitä ei nyt vaan mikään tule pelastamaan. Reikiä on tuhansia ja niistä voi valita reittinsä ihan rauhassa.

 

[ollyz]

Nämä nettipalvelut on siitä kinkkisiä että jos hakkeriryhmä ottaa firman x kohteeksi niin sitä ei nyt vaan mikään tule pelastamaan. Reikiä on tuhansia ja niistä voi valita reittinsä ihan rauhassa.

No siehän varsinainen asiantuntija oot! root:root oli kiristäjän alkuperäisestä viestistä tor-verkosta, kuka tietää pitääkö paikkaansa. Asiantuntijat (F-sec, kyberkeskus) veikkaili, että koneellisesti käyty kohteita läpi ja myöhemmin vasta havaittu että tässähän on kovaa dataa saatu. Vai vittuiletko ihan tarkoituksella?

 

[Tach]

Sulla on varmaan lähde tälle root rootille muukin kuin essonbaarin facebook asiantuntijat?

Vuotaja itse kertoi tämän ensimmäisessä postauksessaan.

Ilmeisesti pelkällä veppikoodauksella tahi C++-taustalla ei pitäisi päästää vastaaviin tehtäviin.

"Veppikoodausta" opiskelleenna tietokantojen oletussalasanojen vaihto oli ensimmäisiä kurssilla opetettuja asioita itse koodauksen jälkeen

 

[exkomura]

No siehän varsinainen asiantuntija oot! root:root oli kiristäjän alkuperäisestä viestistä tor-verkosta, kuka tietää pitääkö paikkaansa. Asiantuntijat (F-sec, kyberkeskus) veikkaili, että koneellisesti käyty kohteita läpi ja myöhemmin vasta havaittu että tässähän on kovaa dataa saatu. Vai vittuiletko ihan tarkoituksella?

Ei ole vittuilua vaan faktojen tarkistamista. En haluaisi uskoa että noin huonosti on asiat ollut mutta ilmeisesti sitten on.

 

[ollyz]

"Veppikoodausta" opiskelleenna tietokantojen oletussalasanojen vaihto oli ensimmäisiä kurssilla opetettuja asioita itse koodauksen jälkeen

Heh, no vähän kärjistin. Epäselväksi jäi oliko kyseessä palomuuri vai kanta. Noh, ei näistä nyt kannata alkaa vääntämään. Ei mennyt ihan putkeen, siitä ei liene erimielisyyttä.

 

[ANTI_L]

Tietoturvahan nyt on asia, joka on monelle vaikeasti ymmärrettävä asia. Suurimmalla osalla ihmisistä on myös omien kotikoneiden tietoturva sillä tasolla, että niihin pääsee sisään kun tietää osoitteen. koska ei ole jaksettu vaihtaa esim reitittimen salasanoja ja konekin on ilman salasanaa, koska se on helpompaa.

Ongelma syntyykin siitä, kun nämä näin tietoturvasta ajattelevat tekevät verkossa kiinni olevia asioita työkseen.

On sitä omasta elämästäkin esimerkkinä, että eräs softadevaaja piti devauskoneensa oletuskäyttäjällä ja salasanalla, no sehän oli täysin auki firman verkossa, eli jos olisi joku päässyt firman sisäverkkoon, niin sinne olisi lähtenyt työn alla ollut koodi. Joskus seurasin projektin kehittymistä omalta koneelta käsin, koska se oli nopeampaa ja helpompaa kuin kävellä toiselle puolen toimistoa tarkastamaan edistyminen. Tietoturvasta huolestunut työkaverini buuttasi sitten jossain vaiheessa tuon toisen työkaverin koneen ja toi asian firman IT vastaavan tietoon. Vasta silloin asialle tehtiin jotain.

Täytyy vaan todeta, että onneksi itsestäni ei ole mitään sellaista dataa terveydenhuollossa (tai muuallakaan), jolla olisi mitään väliä jos julkaistaan (tuskin on omat flunssat ja satunnaiset raajan katkeamiset tai muutama kerta kun on työt vituttanut, kovin kovaa valuuttaa kellekään). En luota terveydenhuollon ihmisiin niin paljon, että kertoisin muuten kuin yleisesti, mitä on elämässä tapahtunut. Samalla tavalla toimin myös muiden ihmisten kanssa, kun on avoin kaikesta, on sillä kaikkien tiedossa olevalla perustiedolla hyvin vähän mitään merkitystä.

 

[root]

Mutuna sanoisin, että jos tekijällä olisi tietotaitoa murtautua lukemattomiin isoihin kohteisiin, olisi hölmöä kiristää näin arkaluontoisilla tiedoilla. Mitä enemmän huomiota ja meteliä tiedotusvälineissä, sitä isompi riski jäädä kiinni. Tällaisen tempun tekijähän on täysi ihmisroska, aiemmin toisessa yhteydessä lanseerattua termiä lainatakseni.

root:root oli kiristäjän alkuperäisestä viestistä tor-verkosta, kuka tietää pitääkö paikkaansa.

Kaipa se voi olla tottakin. Nimimerkillä "ai että kun tuli valittua nokkela käyttäjänimi tänne io-techin foorumille"

 

[Technocrat]

On kyllä melkoinen suunnittelun kukkanen ihan jo siitä lähtien, että tuollainen kanta jossa noin arkaluontoista tietoa on saatavilla, on ylipäätänsä avoimessa internetissä. Toivottavasti firmat tajuavat kiinnittää tietoturvaan huomiota enemmän kuin tällaisia juttuja tulee ilmi. Toisekseen, miksi helvetissä noissa tiedoissa on mukana täydellinen nimi, sotu jne? Aivan käsittämättömän amatöörimäistä touhua ja vituttaa kyllä huolella noiden ihmisten puolesta jotka tästä joutuvat kärsimään, tämä vuotajakin on kyllä melkoinen kusipää, noin arkaluontoisesta datasta voi koitua tosi ikäviä seurauksia.

Toivottavasti tämä "haxori" on yhtä amatööri kuin tuon järjestelmän suunnittelija ja KRP saa tämän kiinni.

 

[Mikkos]

On kyllä melkoinen suunnittelun kukkanen ihan jo siitä lähtien, että tuollainen kanta jossa noin arkaluontoista tietoa on saatavilla, on ylipäätänsä avoimessa internetissä. Toivottavasti firmat tajuavat kiinnittää tietoturvaan huomiota enemmän kuin tällaisia juttuja tulee ilmi. Toisekseen, miksi helvetissä noissa tiedoissa on mukana täydellinen nimi, sotu jne? Aivan käsittämättömän amatöörimäistä touhua ja vituttaa kyllä huolella noiden ihmisten puolesta jotka tästä joutuvat kärsimään, tämä vuotajakin on kyllä melkoinen kusipää, noin arkaluontoisesta datasta voi koitua tosi ikäviä seurauksia.

Toivottavasti tämä "haxori" on yhtä amatööri kuin tuon järjestelmän suunnittelija ja KRP saa tämän kiinni.

Ja eikö noi ollut vielä salaamattomina? Meinaa eiks jos olis salattu niin vaikka hakkeri olis kaikki tiedot saanut niin olisi vielä pitänyt purkaa salaus?

 

[namlepo]

Jännä nähä tuleeko vastaamolle nyt montakin miljoonaa gdpr:n rikkomisesta sakkoa.

 

[ollyz]

On kyllä melkoinen suunnittelun kukkanen ihan jo siitä lähtien, että tuollainen kanta jossa noin arkaluontoista tietoa on saatavilla, on ylipäätänsä avoimessa internetissä. Toivottavasti firmat tajuavat kiinnittää tietoturvaan huomiota enemmän kuin tällaisia juttuja tulee ilmi. Toisekseen, miksi helvetissä noissa tiedoissa on mukana täydellinen nimi, sotu jne? Aivan käsittämättömän amatöörimäistä touhua ja vituttaa kyllä huolella noiden ihmisten puolesta jotka tästä joutuvat kärsimään, tämä vuotajakin on kyllä melkoinen kusipää, noin arkaluontoisesta datasta voi koitua tosi ikäviä seurauksia.

Toivottavasti tämä "haxori" on yhtä amatööri kuin tuon järjestelmän suunnittelija ja KRP saa tämän kiinni.

Veikkaan, että haxori on tuolta Itä-Karjalasta. Sinne ei KRP:n käsi ylety, eikä neukut kovin auliisti ketään tänne luovuta. Pahaa pelkään, että lisää dataa vaan mätetään verkkoon.

Joku luottokorttitietojen vuotaminen aika pientä, kun tässä materiaalissa nimet, sotut, osoitteet ja spostit yhdistetään sairaskertomukseen. Missä tosiaan käsitellään sukulaisten hyväksikäyttöä, vaimon pahoinpitelyitä, huumeiden käyttöä, määrättyjä lääkkeitä ja ties mitä. Jos joku sote-ammattilainen näitä menisi vaikka baarissa huutelemaan niin luvat pois ja kenkää. Nyt ilmeisesti 40 000 asiakastietoa vuotanut. Ei tätä nyt ihan kevyellä voi painaa menemään, ihan kamala tilanne yksilöiden kohdalle.

"We have hacked the psychotherapy clinic "vastaamo.fi" and taken tens of thousands of patient records including extremely sensitive session notes and social security numbers.

We requested a small payment of 40 bitcoins (nothing for a company with yearly revenues close to 20 million euros), but the CEO has stopped responding to our emails. We are now starting to gradually release their patient records, 100 entries every day. "

 

[pähk1nä]

On sitä omasta elämästäkin esimerkkinä, että eräs softadevaaja piti devauskoneensa oletuskäyttäjällä ja salasanalla, no sehän oli täysin auki firman verkossa, eli jos olisi joku päässyt firman sisäverkkoon, niin sinne olisi lähtenyt työn alla ollut koodi. Joskus seurasin projektin kehittymistä omalta koneelta käsin, koska se oli nopeampaa ja helpompaa kuin kävellä toiselle puolen toimistoa tarkastamaan edistyminen. Tietoturvasta huolestunut työkaverini buuttasi sitten jossain vaiheessa tuon toisen työkaverin koneen ja toi asian firman IT vastaavan tietoon. Vasta silloin asialle tehtiin jotain.

Mikset itse tehnyt asialle mitään?

 

[Kautium]

Ja eikö noi ollut vielä salaamattomina? Meinaa eiks jos olis salattu niin vaikka hakkeri olis kaikki tiedot saanut niin olisi vielä pitänyt purkaa salaus?

Kyllä, tiedot ovat olleet kannassa (tai palvelimen levyllä) selväkielisinä. Salaus olisi tehnyt kaikesta vaikeampaa. Tosin jos hakkerin kertoma tieto root-tunnuksen oletussalasanasta piti paikkansa, niin ei se salauskaan olisi välttämättä ihmeitä tehnyt.

Veikkaan, että haxori on tuolta Itä-Karjalasta. Sinne ei KRP:n käsi ylety, eikä neukut kovin auliisti ketään tänne luovuta. Pahaa pelkään, että lisää dataa vaan mätetään verkkoon.

Vaikea sanoa, mutta ensin vaikutti siltä, että kyse on kotimaisesta toimijasta. Toisaalta kun ottaa huomioon, että listalta ei ole osattu/ymmärretty etsiä ensimmäiseksi suomalaisia julkisuuden henkilöitä ja vastaavia, niin se viittaa pikkuisen ulkomaiseen toimijaan.

Eilen illalla tämä oli etsinyt listalta poliisin edustajia (yhteystiedoissa poliisi.fi -domain), joita on kuulemma mukana 5kpl. Oli julkaissut näiden nimetkin, mutta ei vielä potilastietoja, eli varmaan yrittää kiristää ensin henkilökohtaisesti.

Ei tätä nyt ihan kevyellä voi painaa menemään, ihan kamala tilanne yksilöiden kohdalle.

Sehän tässä surkuhupaisaa juuri onkin, että sattuu tällaista ja firman edustaja kertoo medialle että nyt kävi näin, mutta toiminta jatkuu silti normaalisti. Ei helkutti, ei sen pidä jatkua "normaalisti", eikä välttämättä muutenkaan ennen kuin on selvitetty että millä tolalla toiminta siellä firmassa oikeasti on ja ketkä kaikki ovat tästä vastuussa. Tällaista ei yksinkertaisesti voi katsoa läpi sormien. Päitä pitää putoilla, vaikka se ei niitä firman asiakkaita enää auttaisikaan.

 

[Technocrat]

Kyllä, tiedot ovat olleet kannassa (tai palvelimen levyllä) selväkielisinä. Salaus olisi tehnyt kaikesta vaikeampaa. Tosin jos hakkerin kertoma tieto root-tunnuksen oletussalasanasta piti paikkansa, niin ei se salauskaan olisi välttämättä ihmeitä tehnyt.

Ihan minimissäänhän noi henkilötiedot olisi pitänyt ehdottomasti olla salattuna, ja niin, että niitä ei saa selväkielisiksi edes kannan/järjestelmän rootti tunnareilla, eli se kryptausavain olisi ollut täysin erillisessä järjestelmässä. Nyt tosiaan on ihan mahdollista, että siellä on ollut joku linux purkki jonka levyllä noi on ollut ihan tekstitiedostoina täysin salaamattomina.

 

[mRkukov]

Ilmeisesti 40 BTC lunnaat on maksettu ja "lähde" sammutettu. Ei siis vuotanut ainakaan julkisesti muuta "kuin" nuo pari sataa tiedostoa. Helvetin paska homma niille, joiden tiedot levitettiin pitkin internettiä. Toivottavasti saavat kaverin kiinni.

Veikkaan kyllä että tällä hetkellä kaikkien kilpailijoiden tietoturva-asiantuntijoita kuumottaa oikein kunnolla. Niin toisaalta sietääkin, jos tämänkin palvelun tietoturva on luokkaa "ei ole". Toivotaan että tässä kiristäjä oikeasti tuhoaa tiedostot ja noiden palveluiden tietoturva saadaan kuntoon, eli tärkeimmät asiat ilmapalomuurin taa.

E: ei siis mitään takeita tuosta lunnaiden maksusta. Nopealla vilasulla sellaista näyttivät tuolla keskustelevan, eikä tosiaan alkuperäinen lähde enää toimi. Joko siis sammutettu tai DDoS:attu alas.

 

[Kautium]

Täytyy vaan todeta, että onneksi itsestäni ei ole mitään sellaista dataa terveydenhuollossa (tai muuallakaan), jolla olisi mitään väliä jos julkaistaan (tuskin on omat flunssat ja satunnaiset raajan katkeamiset tai muutama kerta kun on työt vituttanut, kovin kovaa valuuttaa kellekään). En luota terveydenhuollon ihmisiin niin paljon, että kertoisin muuten kuin yleisesti, mitä on elämässä tapahtunut. Samalla tavalla toimin myös muiden ihmisten kanssa, kun on avoin kaikesta, on sillä kaikkien tiedossa olevalla perustiedolla hyvin vähän mitään merkitystä.

Sama. Hyvin pitkälti perusmallin terveystietoja niissä palveluissa vain on, mutta en silti haluaisi niitä julkisuuteen. Mutta jos taas olisi vaikka jotain MT-ongelmia tai vastaavia, niin pakkohan niistä olisi kertoa lääkärille, vaikka kuinka haluaisikin pitää sellaiset omana tietonaan.

Tässä on jo pidemmän aikaa odoteltu, että missä vaiheessa korkataan OmaKanta, Mehiläinen, Terveystalo, Pihlajalinna tai mikä tahansa näistä muista isommista toimijoista. En luota hirveästi näiden tietoturvaan, varsinkaan kunnallisella/valtiollisella tasolla, kun tietää millaista sählääjää niitä on ollut paikoitellen rakentamassa. Byrokratiaa kyllä on, mutta siihen se sitten monesti jääkin.

 

[ollyz]

No mitäs luulet, ettäkö kiristäjä saatuaan rahat (mikäs juttu tämä muuten on?) hyvää hyvyyttään tuhoaisi datan? No ei varmasti, sillähän olisi hyvä kiristää myös jatkossa. Lypsävää lehmää ei kannata ampua.

En kyllä usko että mitään lunnaita on maksettu, tähän vähäsen lisätietoja. Todennäköisesti siellä on slivovitsia vedetty koko ilta ja nukutaan kuin porsaat.

 

[qukswe]

Toisekseen, miksi helvetissä noissa tiedoissa on mukana täydellinen nimi, sotu jne?

En ole toimialan asiantuntija, mutta tästä tuli mieleen, että miten tämänlainen tietokanta tavallisesti on/pitäisi olla suunniteltu nämä asiat huomioiden? Tämänhän voisi tehdä jotenkin niin, että potilaskertomuskanta olisi anonyymi käyttäen asiakasrelaatioina joitain geneerisiä uniikkeja tunnisteita, mutta nämä pitäisi jossain saada kuitenkin mäpättyä oikeisiin asiakastietoihin. Ehkä tämä mäppäysrelaatio voisi olla eri kannassa eri palvelimella, jolloin potilaskannan vuotaessa tietoja ei pystyisi yksilöimään keneenkään oikeaan ihmiseen.

 

[persu]

Veikkaan, että haxori on tuolta Itä-Karjalasta. Sinne ei KRP:n käsi ylety, eikä neukut kovin auliisti ketään tänne luovuta. Pahaa pelkään, että lisää dataa vaan mätetään verkkoon.

Ajatelkaapas jos on oikeasti idästä, minkälaisen vipuvarren aineiston haltija saa jos listalta löytyy sopivissa asemissa olevia ihmisiä, vaikkapa valtiotason päättäjiä.

Tämä vuoto on kyllä oikeasti järkyttävä. Pysäytti miettimään ihan tosissaan.

 

[ollyz]

Ajatelkaapas jos on oikeasti idästä, minkälaisen vipuvarren aineiston haltija saa jos listalta löytyy sopivissa asemissa olevia ihmisiä, vaikkapa valtiotason päättäjiä.

Tämä vuoto on kyllä oikeasti järkyttävä. Pysäytti miettimään ihan tosissaan.

Niin, ekassa dumpissa oli ilmeisesti viisi poliisia ja kansanedustaja (spostiosoitteiden perusteella). Tai näin jokun torilla retosteli. En tutustunut aineistoon kun parin filun silmäilyn jälkeen jo alkoi pahaa tekemään. Onhan sitä vähemmälläkin pyritty vaikuttamaan poliittiseen päätöksentekoon. Ideologia, lahjonta, kiristys.

 

[Kautium]

Ilmeisesti 40 BTC lunnaat on maksettu ja "lähde" sammutettu. Ei siis vuotanut ainakaan julkisesti muuta "kuin" nuo pari sataa tiedostoa. Helvetin paska homma niille, joiden tiedot levitettiin pitkin internettiä. Toivottavasti saavat kaverin kiinni.

Veikkaan kyllä että tällä hetkellä kaikkien kilpailijoiden tietoturva-asiantuntijoita kuumottaa oikein kunnolla. Niin toisaalta sietääkin, jos tämänkin palvelun tietoturva on luokkaa "ei ole". Toivotaan että tässä kiristäjä oikeasti tuhoaa tiedostot ja noiden palveluiden tietoturva saadaan kuntoon, eli tärkeimmät asiat ilmapalomuurin taa.

E: ei siis mitään takeita tuosta lunnaiden maksusta. Nopealla vilasulla sellaista näyttivät tuolla keskustelevan, eikä tosiaan alkuperäinen lähde enää toimi. Joko siis sammutettu tai DDoS:attu alas.

Viimeisen vuorokauden ajalta löytyy kuulemma muutamia 40 bitcoinin siirtoja. En sitten tiedä onko tuo kuinka yleistä, eli voiko noista päätellä mitään?

Materiaalit eivät kuitenkaan ole ainakaan tällä hetkellä tosiaan saatavilla ainakaan siellä alkuperäisessä lähteessä.

Se on varmaa, että ne julkaistut 300 potilastietoa on kuitenkin ladattu ties kuinka monen henkilön toimesta ja varmaan päätyvät jakoon jatkossakin, vaikka tämä hetkeksi tyrehtyisikin.

Niin, ekassa dumpissa oli ilmeisesti viisi poliisia ja kansanedustaja (spostiosoitteiden perusteella). Tai näin jokun torilla retosteli. En tutustunut aineistoon kun parin filun silmäilyn jälkeen jo alkoi pahaa tekemään. Onhan sitä vähemmälläkin pyritty vaikuttamaan poliittiseen päätöksentekoon. Ideologia, lahjonta, kiristys.

Ei kai niitä siellä julkaistuissa tiedoissa ollut, vaan pelkästään mainostivat että heillä on näiden tiedot hallussaan?

Sitä ei kukaan tiedä mitä kaikkea sieltä vielä löytyy ja mitä tulee vastaan vuosien varrella. Melkoinen Pandoran lipas tästä voi vielä aueta.

 

[mRkukov]

Viimeisen vuorokauden ajalta löytyy kuulemma muutamia 40 bitcoinin siirtoja. En sitten tiedä onko tuo kuinka yleistä, eli voiko noista päätellä mitään?

Materiaalit eivät kuitenkaan ole ainakaan tällä hetkellä tosiaan saatavilla ainakaan siellä alkuperäisessä lähteessä.

Se on varmaa, että ne julkaistut 300 potilastietoa on kuitenkin ladattu ties kuinka monen henkilön toimesta ja varmaan päätyvät jakoon jatkossakin, vaikka tämä hetkeksi tyrehtyisikin.

Joo ei tosiaan mitään hajua itselläkään onko tuollaiset 40BTC siirrot normaaleja. Alkuperäinen lähde kuitenkin sammuksissa, eli jotain on tapahtunut. Nuo jo julkaistut tiedot on tosiaan ikuisesti "julkisia". Niitä ei enää pois verkosta saada.

 

[Kautium]

Joo ei tosiaan mitään hajua itselläkään onko tuollaiset 40BTC siirrot normaaleja. Alkuperäinen lähde kuitenkin sammuksissa, eli jotain on tapahtunut. Nuo jo julkaistut tiedot on tosiaan ikuisesti "julkisia". Niitä ei enää pois verkosta saada.

Joku sanoi että tällä oli 300 henkilön tietojen tar-paketin siirto keskeytynyt aamulla joskus klo 6 aikoihin ja sen jälkeen palvelu ei ole enää vastannut. Ei siis liene ainakaan mikään ddos-tilanne. Joko rahat on maksettu, hyökkääjän palvelin kippasi tai sitten viranomaiset ottivat töpselin irti. Jälkimmäinen on noista epätodennäköisin.

 

[hsalonen]

Mielestäni tämmöisissä tapauksissa pitäisi etsiä syylliset, julkaista nimet ja varmistaa, että he eivät enää tee tällaisia projekteja ilman ulkopuolista auditointia.

Tietenkin, tässä saattoi olla monitoimittajaympäristö ja joku toinen porukka on ryssinyt asennuksen/palomuurin kanssa - mutta asia pitäisi selvittää ja ottaa kouluesimerkiksi siitä, miten EI hoideta asioita.

--

Eipä ole minulla mitään pelissä, mutta jos vaikka ne poliisit on työssään kohdanneet pedofiilejä ja/tai raakaa väkivaltaa tai joutuneet tappamaan jonkun ja sen takia joutuvat terapiassa käymään, niin heidän yksityiselämänsä revittely julkisesti on jotain sellaista, josta pitäisi antaa se elinkautinen jo pelkästään siitä. Eikä edes ne julkkikset/poliisit, mutta ihan tavallisten ihmisten elämä saattaa olla pilalla, kun intiimit asiat on nyt koko kansan pällisteltävinä.

--

Edelleen, tässä pitäisi nyt paukut olla siinä, että tämän tapahtuminen jatkossa estetään kaikin keinoin. Ja minun puolestani jos tämä on järjestelmätoimittajan / infratiimin vika, niin heidän olisi nyt syytä maksaa 40 BTC firmalle. Ihan oikeuden määräyksellä.

 

[Larppa]

Tässä jälleen eräs esimerkki yksityisen palveluntarjoajan suoritustasosta sote-puolella.

Vanhustenhoidossa lanseerattiin jo "vanhukset kuuluvat lattialle" -slogan, kävisikö tähän nyt esim. "Vastaamo - vertaistukea verkosta"?

Jos tietoturvasta voidaan säästää eikä kunnon sanktioita ole tiedossa niin tottakai se laiminlyödään. Saa toimari suuremmat bonarit ja osakkeenomistajat osingot. Jos taas yhteiskunnan pitää rakentaa (asiantuntevia) valvontaorganisaatioita näiden varalle niin voidaan varmaan perustellusti kysyä tuleeko yksityistämisestä mitään säästöjä.

 

[namlepo]

Ihan samanlaista se vanhusten hoito on julkisella puolella kuin yksityiselläkin.

 

[mRkukov]

Joku sanoi että tällä oli 300 henkilön tietojen tar-paketin siirto keskeytynyt aamulla joskus klo 6 aikoihin ja sen jälkeen palvelu ei ole enää vastannut.

Tuossa kommentissa ei vain ole mitään järjen hiventä. Tiedot oli yksittäisissä .txt tiedostoissa, eikä 300 pikkuruisen tiedoston lataamiseen mitään tar paketointia tarvita. Jättäisin siis tuon kommentin vaille mitään huomiota.

Edelleen, tässä pitäisi nyt paukut olla siinä, että tämän tapahtuminen jatkossa estetään kaikin keinoin. Ja minun puolestani jos tämä on järjestelmätoimittajan / infratiimin vika, niin heidän olisi nyt syytä maksaa 40 BTC firmalle. Ihan oikeuden määräyksellä.

Tietoturvan taso ei ole aina tekijöiden syy. Asiantuntija sanoo että "Tällainen asia X olisi hyvä tehdä, mutta se maksaa Y verran". Tämän jälkeen johtoporras kysyy onko se pakollinen ja jos vastaus on "Erittäin suositeltava, mutta ei...." niin se jätetään tekemättä. Ei haluta haaskata rahaa "turhiin" asioihin.

"Nuo vanhat palvelimet pitäisi käydä läpi..." --> keskity nyt johonkin "tuottavaan".
"Mitähän tuolla vanhalla pyörii..." --> ei uskalleta tehdä mitään, eikä ehditä selvittää.

Ja ei, en puolustele näitä työntekijöitä tai firmoja. Tällaisten arkaluontoisten asioiden kohdalla hommaan pitää oikeasti panostaa. Jos kyse on kuitenkin ollut root:root tason failista niin sitten on kyllä aivan väärät tekijät olleet tekemässä aivan vääriä asioita.

 

[Adasme]

Kiristyssivu poistui pimeästä verkosta – 300 psykoterapia-asiakkaan tiedoista lienee silti kopioita

Kiristäjän käyttämä Tor-verkon sivu katosi verkosta perjantaiaamuna.

www.is.fi

Kiristäjä poisti psykoterapia-asiakkaiden tiedot verkosta
Tor-verkon sivu katosi runsaat puoli tuntia sitten.

Psykoterapiakeskus Vastaamoa kiristävä verkkorikollinen on poistanut salatun Tor-verkon sivunsa, jolla terapia-asiakkaiden henkilötietoja on julkaistu.

Kiristäjä julkaisi viime yönä 100 uuden ihmisen tiedot. Tämän lisäksi hän julkaisi Tor-verkon keskustelupalstalla Vastaamon tietokannassa olleen 6 poliisin nimet, mutta ei muita tietoja näistä. Tämä on tiettävästi ensimmäinen kerta, kun kiristäjä käytti varastamaansa aineistoa maalittamiseen.

Kiristäjä julkaisi myös 100 gigatavun suuruisen tiedoston, jonka sisällöstä ei ole tietoa. Kyseessä on mahdollisesti Vastaamon tietokanta, joka on kuitenkin suurella todennäköisyydellä vahvasti salattu ja salasanasuojattu.

Nämä tiedostot eivät ole enää kiristäjän verkkosivulla, mutta moni on saattanut ottaa niistä kopioita ja niitä saadaan jatkossakin käyttää laittomiin tarkoituksiin.

Verkossa liikkuvien vahvistamattomien väitteiden mukaan kiristäjälle olisi maksettu hänen vaatimansa summa, 40 bitcoinia eli noin 450 000 euroa.

Verkosta löytyy bitcoin-lompakko, joka täyttää nämä ehdot. Siellä on myös 10 päivää aiemmin tehty rahansiirto, joka saattaa olla peräisin aiemmasta kiristyksestä. Kiristäjä on ilmoittanut 4 ei-suomalaisen yrityksen maksaneen lunnaita viime aikoina.

Ei ole varmuutta siitä, kuuluuko lompakko kiristäjälle ja mikä taho on rahat siirtänyt.

 

[Kautium]

Tuossa kommentissa ei vain ole mitään järjen hiventä. Tiedot oli yksittäisissä .txt tiedostoissa, eikä 300 pikkuruisen tiedoston lataamiseen mitään tar paketointia tarvita. Jättäisin siis tuon kommentin vaille mitään huomiota.

Oli siellä ollut myös isompi tar-paketti niiden yksittäisten txt-tiedostojen lisäksi. En ole itse tutkinut asiaa tarkemmin, mutta tämän uutisen mukaan se on ollut kooltaan jopa 100GB (jossa todennäköisesti on toimittajan pilkkuvirhe ja koko on ollut 10GB):

Kiristyssivu poistui pimeästä verkosta – 300 psykoterapia-asiakkaan tiedoista lienee silti kopioita

Kiristäjän käyttämä Tor-verkon sivu katosi verkosta perjantaiaamuna.

www.is.fi

 

[Technocrat]

En ole toimialan asiantuntija, mutta tästä tuli mieleen, että miten tämänlainen tietokanta tavallisesti on/pitäisi olla suunniteltu nämä asiat huomioiden? Tämänhän voisi tehdä jotenkin niin, että potilaskertomuskanta olisi anonyymi käyttäen asiakasrelaatioina joitain geneerisiä uniikkeja tunnisteita, mutta nämä pitäisi jossain saada kuitenkin mäpättyä oikeisiin asiakastietoihin. Ehkä tämä mäppäysrelaatio voisi olla eri kannassa eri palvelimella, jolloin potilaskannan vuotaessa tietoja ei pystyisi yksilöimään keneenkään oikeaan ihmiseen.

Just jotain tämäntapaista, eli ne oikeat tiedot on eri paikassa ja noiden arkaluontoisten tietojen tilalle joku uniikki id joilla ne sitten tarvittaessa sieltä löytyy.

 

[Kautium]

Poliisi ei ole kommentoinut tietojen katoamista verkosta medialle, mutta tämä lienee aivan normaalia. Jos lunnaat onkin maksettu, niin sitä ei välttämättä kerrota koskaan julkisuuteen. Ikävänä puolena se jättää Vastaamon asiakkaat pysyvään löyhään hirteen, vaikka eipä se lunnaiden maksaminenkaan mitään vakuutta anna siitä että tiedot olisi oikeasti poistettu.

Vastaamon kiristäjän sivu ilmestyi takaisin nettiin – kiristäjä julkaisi yöllä lisää potilastietoja, mutta sitten sivu katosi useiksi tunneiksi

Tietoa sivun poistumisen syystä ja palautumisesta ei ole.

yle.fi

Ylen Aamu-TV:n haastattelussa Aalto-yliopiston kyberturvallisuuden professori Jarmo Limnell totesi, että missään nimessä kiristäjien vaatimuksiin ei pitäisi suostua, varsinkaan nyt kun kyse on suuresta ja paljon julkisuutta saaneesta tapauksesta, koska se antaa kaikille muille rikollisille selvän merkin siitä, että kyse on kannattavasta bisneksestä. Kuulostaa kylmältä yksilön kannalta, mutta näin se kuitenkin kokonaisuutta ajatellen on. Haastattelu löytyy täältä suunnilleen kohdasta 2:15:00 lähtien.

Just jotain tämäntapaista, eli ne oikeat tiedot on eri paikassa ja noiden arkaluontoisten tietojen tilalle joku uniikki id joilla ne sitten tarvittaessa sieltä löytyy.

Niinpä. Verrattain triviaalia teknisesti, mutta saattaa vaikuttaa käytettävyyteen, jonka vuoksi aivan liian monesti mennään sieltä missä aita on matalin. Tällaisten tietojen kohdalla se on kuitenkin täysin anteeksiantamatonta.

F-Securen Koivusen kommentti samaan asiaan:

Tietoturvajohtaja: Potilastietojen vuotaminen olisi voitu estää – ”Asiakkaiden luottamus on petetty”

F-Securen tietoturvajohtajan mukaan Valviran olisi syytä kysyä nyt kaikilta alan toimijoilta asiakastietojen suojauksesta.

www.iltalehti.fi

Teknisesti salakirjoittaminen on helposti toteutettavissa, mutta kun tietojen on pitänyt olla helposti terapeutin saatavilla ja tietoja pitää säilyttää pitkiä aikoja, on tietoturvasta luultavasti tingitty, Koivunen toteaa.

 

[FireFly Renaissance]

Vaikuttaa nyt sen tason puuhastelulta tuollaisten tietojen kanssa, että toivottavasti joku joutuu ihan oikeaan henkilökohtaiseen vastuuseen.

Suomessa tämä on tietenkin ihan toiveajattelua. Sitten puuhastellaan jonkun GDPR:n kanssa.

 

[Ragnarokkr]

Hieman huolestuttaa että vaikka ilmeisesti on lunnaat maksettu, niin meinaako herra haxori ne vielä jollekkin kgb/helvetin perkele/yön sudet tms porukalle niitä myydä.
On hyvää materiaalia millä kiristää ihan henkilöitä eikä pelkästään firmaa.

 

[FireFly Renaissance]

Poliisi ei ole kommentoinut tietojen katoamista medialle, mutta tämä lienee aivan normaalia. Jos lunnaat onkin maksettu, niin sitä ei välttämättä kerrota koskaan julkisuuteen. Ikävänä puolena se jättää Vastaamon asiakkaat pysyvään löyhään hirteen, vaikka eipä se lunnaiden maksaminenkaan mitään vakuutta anna siitä että tiedot olisi oikeasti poistettu.

Vastaamon kiristäjän sivu ilmestyi takaisin nettiin – kiristäjä julkaisi yöllä lisää potilastietoja, mutta sitten sivu katosi useiksi tunneiksi

Tietoa sivun poistumisen syystä ja palautumisesta ei ole.

yle.fi

Niinpä. Verrattain triviaalia teknisesti, mutta saattaa vaikuttaa käytettävyyteen, jonka vuoksi aivan liian monesti mennään sieltä missä aita on matalin. Tällaisten tietojen kohdalla se on kuitenkin täysin anteeksiantamatonta.

F-Securen Koivusen kommentti samaan asiaan:

Tietoturvajohtaja: Potilastietojen vuotaminen olisi voitu estää – ”Asiakkaiden luottamus on petetty”

F-Securen tietoturvajohtajan mukaan Valviran olisi syytä kysyä nyt kaikilta alan toimijoilta asiakastietojen suojauksesta.

www.iltalehti.fi

Mä en oikein keksi yhtään syytä miksi tämäntapaisia tietoja (ne terapiaistuntojen kertomukset) tarvisi edes säilyttää missään muualla kuin paperilla tai täysin verkosta irroitetulla laitteella. Tuollaisia tietoja ei tulisi säilyttää missään yhtään sen enempää kuin on tarpeen. Yleensä terapeutit kuitenkin ovat samoja ja hoitosuhteet pitkiä.

 

[hsalonen]

Just jotain tämäntapaista, eli ne oikeat tiedot on eri paikassa ja noiden arkaluontoisten tietojen tilalle joku uniikki id joilla ne sitten tarvittaessa sieltä löytyy.

Tietokanta on myös erillään julkisesta verkosta ja sen admin-salasana ei todellakaan ole kenellä vaan arvattavissa. Lisäksi näkymillä on peitetty osa tiedosta, vanhemmat tiedot on GDPR:n mukaisesti poistettu kannoista automaattisilla ajoilla ja yhdessä kunnallisessa finanssialan laitoksessa (jota en voi nimetä NDA:n vuoksi) oli vielä triggereitä kyselyille jotka koskivat sensitiivistä tietoa. Niistä meni raportti johonkin.

Vielä jos haluaa hifistellä, niin on joku intrusion detection käynnissä ja ostettu palveluna, niin joku tarkkailee verkkoa 24/7. Näitä on niinkuin oikeasti ja saa suurilta toimijoilta. Ne huomaavat kyllä myös semmoiset massadumppaukset, jossa haetaan kokonaisia tauluja kannasta.

Pikantti oikean elämän yksityiskohta: AWS Solution Architect Associate -tentistä ei pääse läpi, jos piirtelee tuollaisia pelleilyarkkitehtuureja ja ei ymmärrä, miksi tietokanta on omassa VPC:ssään.

Niinpä. Verrattain triviaalia teknisesti, mutta saattaa vaikuttaa käytettävyyteen, jonka vuoksi aivan liian monesti mennään sieltä missä aita on matalin. Tällaisten tietojen kohdalla se on kuitenkin täysin anteeksiantamatonta.

Jos tietokanta-ammattilainen ei osaa joinata useasta lähteestä ja tehokkaasti, niin potkut pitäisi antaa moiselle. Lisäksi tosiaan paikalliset data martit tai vähintään partitiot.

--

Toista linkitettyä CV:tä katselin LinkedIn:issä ja näytti sen perusteella ihan pätevältä kaverilta, mutta jos jälki on tämä, niin todellinen kompetenssi on omien taitojen liiottelu ja hauskojen tittelien keksiminen. Lisäksi LinkedIn tiesi kertoa, että olin hänen kanssaan samaan aikaan opiskelemassa, niin meillä kyllä siellä TKK:lla opetettiin vähän paremmin hoitamaan asiat..

 

[Kautium]

Mä en oikein keksi yhtään syytä miksi tämäntapaisia tietoja (ne terapiaistuntojen kertomukset) tarvisi edes säilyttää missään muualla kuin paperilla tai täysin verkosta irroitetulla laitteella. Tuollaisia tietoja ei tulisi säilyttää missään yhtään sen enempää kuin on tarpeen. Yleensä terapeutit kuitenkin ovat samoja ja hoitosuhteet pitkiä.

Aika vaikea sitä hoitoprosessia on edistää, jos ei ole tiedossa potilaan historiaa lääketietoineen jne. Hoito on monen potilaan kohdalla pitkä-aikaista ja tapahtuu eri lääkereiden ja jopa eri hoitolaitosten välillä. Paperilla ne tiedot eivät ainakaan ole turvassa, kun ne voivat unohtua pöydänkulmalle, eikä niitä voi edes salata muuten kuin toivomalla, että sinne arkistotilaan ei pääse ulkopuolisia jne.

Tietotekniselle ratkaisulle löytyy siis perusteita, mutta ne pitää toteuttaa järkevästi. Nyt oli toteutettu jotain ja unohdettu se järkevyys.

 

[ollyz]

Oli siellä ollut myös isompi tar-paketti niiden yksittäisten txt-tiedostojen lisäksi. En ole itse tutkinut asiaa tarkemmin, mutta tämän uutisen mukaan se on ollut kooltaan jopa 100GB:

Voin vahvistaa, .tar-paketti tosiaan löytyi. Mutta siinä vaiheessa kun sen imuroit omalle koneellesi, alkaa rikoslaista löytyä pykäliä ties mihin rangaistaviin tekoihin syyllistyt. En siis suosittele. Selaaminen sitten taas ei ole rangaistavaa. En tosin sitäkään suosittele jos haluaa nukkua yönsä hyvin.

Jos matskut poistuneet, niin selityksenä ehkä:
a) lunnaat maksettu
b) kiristäjällä tullut vetelät housuun
c) valtion kohteliaat herrasmiehet tulleet hakemaan materiaalit omiin tarkoituksiinsa ja käskeneet lopettamaan pelleilyn

Veikkaan vaihtoehtoa c)

 

[FireFly Renaissance]

Nämä nettipalvelut on siitä kinkkisiä että jos hakkeriryhmä ottaa firman x kohteeksi niin sitä ei nyt vaan mikään tule pelastamaan. Reikiä on tuhansia ja niistä voi valita reittinsä ihan rauhassa.

No ensimmäinen virhe on laittaa arkaluontoista tietoa kiinni sinne nettiin. Silloin kun oikeasti suojataan arkaluontoista tietoa se pitää hakea fyysisesti. Nämä tiedot ovat asiakkailleen aika helvatan arkaluontoisia. Paljon pahempia kuin normaalin sairaanhoidon tiedot.

 

[FireFly Renaissance]

Aika vaikea sitä hoitoprosessia on edistää, jos ei ole tiedossa potilaan historiaa lääketietoineen jne. Hoito on monen potilaan kohdalla pitkä-aikaista ja tapahtuu eri lääkereiden ja jopa eri hoitolaitosten välillä. Paperilla ne tiedot eivät ainakaan ole turvassa, kun ne voivat unohtua pöydänkulmalle, eikä niitä voi edes salata muuten kuin toivomalla, että sinne arkistotilaan ei pääse ulkopuolisia jne.

Tietotekniselle ratkaisulle löytyy siis perusteita, mutta ne pitää toteuttaa järkevästi. Nyt oli toteutettu jotain ja unohdettu se järkevyys.

Se, että tarvitaan lääketietoja ei ole mikään peruste sille, että samaan järjestelmään on kirjattu yksityiskohtaista tietoa potilaan kertomuksista terapeutille. Hieman eri kaliiberin asia, jos siellä lukee määrätty masennuslääkettä kuin vaikka "miten tuli lapsena hyväksikäytetyksi (ties kuinka tarkasti kirjattuna)". Ensimmäinen on vain ikävää, jälkimmäinen voi tuhota koko elämän, etenkin kun kyseiset ihmiset ovat muutenkin terapian tarpeessa olleita.

Noiden tietojen kirjaaminen sinne nyt ei vaan ole mitenkään tarpeellista. Jos terapeutti vaihtuu nämä tiedot voidaan jakaa ihan muuta kautta. Terapeutit eivät vaihdu päivästä toiseen. Tässä ei nyt määrätä mitään antibioottia flunssaan terveysasemalla.

Kyllä ne paperilla ovat aika paljon paremmin turvassa vaikka lojuisivat missä, kuin koko maailman edessä huonosti lukitun oven takana. Ja, ehkä niitä papereitakaan ei lojuteta pöydänkulmalla. Paperilla on myöskin unohtuessaan yhden henkilön tiedot ei tuhansien.