Eikös tässä olisi vielä pitänyt grantata rootille oikeudet connectaa '%' MySQL tasolla ?
Vastaamo.fi tietovuoto - keskustelu ja seuranta
- Keskustelun aloittaja Kautium
- Aloitettu
- Liittynyt
- 13.11.2016
- Viestejä
- 542
Ei hyvänen aika. Voiko olla että kaiken takana olisikin katkeroitunut omassa kuplassaan elävä nykyinen ex-tj, joka viimeisenä vetonaan on päättänyt vielä kerran rahastaa?
www.is.fi
Vastaamon ex-toimitusjohtajan ja tämän vanhempien omaisuutta takavarikkoon lähes 10 miljoonaa euroa
Turvaamistoimea haki Vastaamon nykyinen pääomistaja.
www.is.fi
En ymmärrä mitä tarkoitat? Eihän tuo takavarikko tarkoita muuta kuin, että nykyinen omistajataho haluaa varmistaa että mahdollisesti saavat kaupat purettua ja/tai vahingonkorvauksia Tapioilta aiheutuneesta haitasta. Vai mihin viittasit että "kaiken takana"?Ei hyvänen aika. Voiko olla että kaiken takana olisikin katkeroitunut omassa kuplassaan elävä nykyinen ex-tj, joka viimeisenä vetonaan on päättänyt vielä kerran rahastaa?
Vastaamon ex-toimitusjohtajan ja tämän vanhempien omaisuutta takavarikkoon lähes 10 miljoonaa euroa
Turvaamistoimea haki Vastaamon nykyinen pääomistaja.
Ei tietokantoja yleensä salata, ne tiedot täytyy joka tapauksessa saada purettua selväkieliseksi käsittelyä varten ja sen purkamisen täytyy tapahtua viimeistään siinä sovelluksessa, jossa tietoa käsitellään. Salausavainten on oltava käytännössä samojen pääsyoikeuksien takana kuin itse datankin, jolloin salaus ei lisää turvallisuutta.
Salausta käytetään esim.
- estämään fyysisesti haltuun saadun tallennusvälineen lukeminen. Tällöin salauksen purkamiseen tarvittava avain on saman lukon (salasanan) takana kuin laitteen käyttö muutenkin, jos sitä ei tiedä, niin ei pysty lukemaan.
- estämään suojaamattoman yhteyden, esimerkiksi internetin tai radioverkon, yli lähetettyjen viestinnän lukeminen/kuunteleminen/katsominen
- suojaamaan salasanoja, tässä ei ole salausavainta lainkaan, salattua salasanaa ei saa (käytännössä) lainkaan palautettua selväkieliseksi, autentikointi tapahtuu vertaamalla samalla tavalla salattuja syötettyä ja tallennettua salasanaa keskenään.
Entäs jos salaa datan ja suojaa sen yhdellä salasanalla ja sitten tallentaa salausavaimen toiseen paikkaan ja suojaa sen toisella salasanalla? Eikö silloin saa kaksinkertaisen suojan? Ei saa, koska molempien salasanojen on oltava käytännössä samassa konffitiedostossa (/vast.). Brute force-menetelmää vastaan kahta yhtä pitkää salasanaa vastaavan suojan saa, kun heivaa toisen salasanan mäkeen ja kasvattaa toisen pituutta yhdellä bitillä. Kyllä, yhdellä bitillä.
Kyllä, tavallaan. Yrityksen perusti äiti ja poika, joista jälkimmäinen oli itseoppinut koodari. Käytännöt varmaan sitä perua.
Ei 400 tonnia ole Vastaamon myynnistä ehkä 10 miljoonaa saaneelle mikään vaivan arvoinen raha.
Viimeksi muokattu:
- Liittynyt
- 13.11.2016
- Viestejä
- 542
Varmasti tiennyt, että pska lentää tuulettimeen, ja jonkinmoisena it-henkilönä voinut kehitellä koko kiristysjutun.
Mutta en väitä mitään. Kunhan pölähti mieleen.
- Liittynyt
- 13.11.2016
- Viestejä
- 542
Mutta kun ei saa, vaan ne menee.
- Estetty
- #708
- Liittynyt
- 29.08.2020
- Viestejä
- 598
Mutta miten se liittyy tohon takavarikkoon?
- Liittynyt
- 13.11.2016
- Viestejä
- 542
Ajatteli ehkä pienessä mielessään saavansa edes jotain?
- Liittynyt
- 13.11.2016
- Viestejä
- 542
Niin on. Kunhan pölähti mieleeni.
Juuri sen kiristysjutun takia se menetti kaiken.
Periatteessa joo, mutta yhtä hyvin sisään on voitu mennä jollain potilasrekisteri:villetapio tunuksilla, varmuuttahan tuosta roottina tunkeutumisesta ei ole. Ja jos en ihan väärin muista, niin ainkin jossain aataminaikuisessa debianissa taisi oletuksena olla mysql:ssä kaksi root- käyttäjää 'localhost' ja '%'. Ainakin phpmyadminin oletuksena oli aikanaan '%' käyttäjää luotaessa.
Edit: Olikohan muuten juurikin 16.04 ensimmäinen versio, jossa oletuksena ei roottina päässyt kirjautumaan ollenkaan salasanalla, vaan piti käyttää
sudo mysql komentoa. Ja tästähän ei vanha IT-mies tietenkään tykännyt ja lisäsi itse uuden root- käyttäjän jolla pääsee salasanalla sisään. Onhan noita skenaarioita, millä tavalla tuonkin on voinut sössiä.
Viimeksi muokattu:
- Liittynyt
- 13.11.2016
- Viestejä
- 542
Mehän emme tiedä mitä taustalla on saattanut jo olla. Voi esim. olla että luottamus ollut katkolla jo aiemmin ja potkut tiedossa jo jonkin aikaa. Eihän noista tiedä.
Kunhan nyt vaan hämmästelen.
Puhuin lain vastaisista kirjauksista. Esimerkiksi, että kirjaa asiakkaan läheisestä tämän henkilökohtaisia ja arkaluontoisia asioita asiakkaan potilasmerkintään. Jotka ei liity mitenkään asiakkaan hoitoon, on mainittu vain kuriositeettina. Ja vielä tavalla, josta kolmas osapuoli on helppo tunnistaa.
Diagnoosit tietysti pitää kirjata.
Tämä vain yksi esimerkki, mitä löytyy omasta kantamerkinnöistä. Ei taida olla ihan GDPR:n mukaista touhua.
Haluaisitko sinä, että vaikka siskosi potilasmerkinnässä lukisi sinun yksityisasioitasi, joita et halua jakaa kenellekään ulkopuoliselle? Tokihan lääkärille puhutaan luottamuksella asioita, mutta ei kaikkea ole relevanttia kirjata kantaan sadaksi vuodeksi.
Tällainen tilanne voi olla esimerkiksi, jos mainitset jonkun lapsuus tapahtuman, joka on tapahtunut usealle perheenjäsenelle. Lääkäri saa kuulla luottamuksellisesti mitä on tapahtunut. Mutta ei silti edes hoidon kannalta ole merkityksellistä kirjata asiaa ylös kenelle kaikille asia on tapahtunut (edes kysymättä näiltä muilta ihmisiltä!), jos tapahtuman luonne on hyvin henkilökohtainen. Puhumattakaan siitä, onko se laillista.
Ei ole kovin vaikeaa lukea rivien välistä asennettasi. Sen sijaan, että puolustaisit asiakkaan näkökulmaa siitä, että kirjauksien pitää olla asianmukaiset, haluat tuoda esiin, kuinka oikaisujen läpisaaminen on vaikeaa ellei mahdotonta. Tässä nyt on kuitenkin alan toimija laiminlyönyt omat salassapitovelvollisuutensa, mikä on johtanut inhimilliseen katastrofiin. Kaikki ymmärtää nyt, kuinka haavoittuvia nämä järjestelmät on. Ja kuinka ihmiset tekevät virheitä tietoturvan varmistamiseksi. Se mitä nyt voi tehdä, on ainakin tarkistaa, mitä sinne kantaan on runoiltu. Ja lääkärien ym. alan henkilöiden pitää jatkossa ymmärtää, että se mitä tietojärjestelmiin kirjoitetaan, voi joskus olla julkista. Vastuu painaa - toivottavasti jatkossa kaikkia.
Viimeksi muokattu:
Zigh
Tittelitön
- Liittynyt
- 17.10.2016
- Viestejä
- 4 630
Ei yleensä salata, mutta silloin kun siellä on näin arkaluonteista tavaraa, niin ei tuosta lisäsuojasta mitään haittaakaan olisi. Silloin hyökkääjän olisi pitänyt kannan lisäksi päästä käsiksi esim. lähdekoodiin. Aika todennäköistä, että silloin tätä koko tragediaa ei olisi tapahtunut. Murtautuja olisi saanut vain köntin kryptattua dataa.
- Liittynyt
- 27.10.2020
- Viestejä
- 1
Missään ei kai oo sanottu, että nimenomaan tuotantokanta on pöllitty? Voihan toi olla, että se kanta on viety jonnekin deviin ja sinne on sallittu mysql:ään pääsy suoraan.
- Liittynyt
- 17.10.2016
- Viestejä
- 14 664
Yleensä ja yleensä. Kun esim. AWS:n RDS:n lykkää tulille, niin se salaus at rest on yksi rasti ruutuun (ja päällä oletuksena). Kattaa myös snapshotit. Olisi saattanut olla tässäkin keississä ihan kiva ominaisuus ja harvinaisen helppo toteuttaa.
- Liittynyt
- 19.08.2018
- Viestejä
- 743
En tiedä miten potilastietojen kanssa, mutta vähän vähemmän kuuman kaman kanssa on ihan normaalia käyttää kopioita tuotantodatasta.
voffer
huru-hara
- Liittynyt
- 08.11.2016
- Viestejä
- 1 049
Miten se at rest salaus auttaa, jos pääsee kirjautumaan sinne kantaan?
Vai oliko tässä tapauksessa siis kyse siitä, että itse kantaan ei ollut tunnuksia, vaan murtautuja pääsi serverille ja kopioi tietokannan tiedostot sellaisenaan, ja näistä pystyi lukemaan datan ilman varsinaisia kantatunnareita?
- Liittynyt
- 17.10.2016
- Viestejä
- 362
Salauksen voi toteuttaa monella eri tasolla. Esimerkiksi levyllä olevien tiedostojen salaus ei auta mitään, jos tunkeutuja on päässyt sisään tietokantaan. Arkaluontoiset potilastiedot olisi pitänyt salata sarake-tasolla, mutta toki tällainen salaus olisi sitten pitänyt purkaa sovellustasolla – aivan kuten lainaamasi kirjoittaja totesi.
- Liittynyt
- 17.10.2016
- Viestejä
- 14 664
Mä en tiedä, mitä tässä Vastaamon keississä on oikeasti tapahtunut. Sitä ei varmaan vielä tiedä kukaan. Siksi kirjoitin "olisi saattanut".
- Liittynyt
- 18.01.2017
- Viestejä
- 532
Nythän on kulunut se 72h ransom_manin uhkailuista. Saas nähdä tapahtuuko enää mitään. Tuleeko lisää kiristysviestejä että "vielä on 48h aikaa maksaa" vai meinaako julkaista kaikki tiedot... Voi olla että enää ei kuulla hänestä?
- Liittynyt
- 07.11.2016
- Viestejä
- 560
Kielianalyytikot arvioivat, että Vastaamon kiristystekstien laatija sai apua harjaantuneelta suomen kielen osaajalta
STT pyysi kielentutkijoilta näkemystä Vastaamon tietomurtoon liittyvistä kiristysviesteistä.
www.is.fi
Kiristäjä jos olisi oikea ammattilainen ja miettinyt koko skenaarion loppuun asti ja tuntenut kohteensa, olisi toki kiristänyt suoraan ja salassa Tapion perhettä. Kun asia nyt meni julkiseksi, koko homma levähti lopulta käsiin sekä uhrin että tekijän näkökulmasta, ja lopulta pääsevät tuomiolle ehkä jopa molemmat.
- Liittynyt
- 19.08.2018
- Viestejä
- 743
Sitähän ei vielä tiedetä, etteikö näin olisi tehty. Voisi myös selittää, miksi toimari on pitänyt asiaa salassa.
Aivan. Noh, seuraillaan josko asia joskus selkenee. Nämä julkiset lausunnot mitä hän nyt on antanut, olisivat toki tässä skenaariossa aikamoinen bonus.
- Liittynyt
- 16.10.2016
- Viestejä
- 19 636
Taas lisää siitä tietovuodot.fi -sivustosta:
www.tivi.fi
”Tein pienen ohjelmanpätkän” – Yle: Nörttipsykologin palvelusta voi tarkistaa Vastaamo-tietojensa tilanteen
Vastaamon tietovarkaus on herättänyt suurta huolta yrityksen asiakkaissa. Tietovuodot.fi-palvelu voi hälventää huolia.
www.tivi.fi
Jälleen lainopillisesti aika mielenkiintoinen tilanne, varsinkin kun tietää että softan tekijä puhuu 100% paskaa tuossa, ettei olisi avannut niitä tiedostoja. Ei ole mitenkään mahdollista tehdä softaa avaamatta niitä, kun eihän sitä muuten voi tietää mitä siellä on ja mitä pitäisi etsiä. Ei ehkä ole lueskellut ihan kaikkia, mutta sillä ei ole merkitystä. Lisäksi tosiaan tuo, että tiedostot on ladattu omalle koneella ja perustettu niistä henkilörekisteri, jota vasten kyselyitä tehdään. Pyhittääkö taas tarkoitus keinot?
Sähköpostiosoitteiden (tai minkä vaan muunkin standardimuotoisen tekstin) hakeminen regexillä dokumenteista onnistuu vallan mainiosti vaikket itse niitä tiedostoja tai niiden sisältöjä katselisi.Taas lisää siitä tietovuodot.fi -sivustosta:
”Tein pienen ohjelmanpätkän” – Yle: Nörttipsykologin palvelusta voi tarkistaa Vastaamo-tietojensa tilanteen
Vastaamon tietovarkaus on herättänyt suurta huolta yrityksen asiakkaissa. Tietovuodot.fi-palvelu voi hälventää huolia.
Jälleen lainopillisesti aika mielenkiintoinen tilanne, varsinkin kun tietää että softan tekijä puhuu 100% paskaa tuossa, ettei olisi avannut niitä tiedostoja. Ei ole mitenkään mahdollista tehdä softaa avaamatta niitä, kun eihän sitä muuten voi tietää mitä siellä on ja mitä pitäisi etsiä.
Voihan sen toki tehdä muullakin tapaa, jolloin usein joutuu niihin tiedostoihin ja niiden formaatteihin tarkemmin tutustumaankin. Mutta ei tuo nyt automaattisesti mitään paskapuhetta ole.
- Liittynyt
- 16.10.2016
- Viestejä
- 19 636
Tosi realistista kuvitella, että näin olisi tehty. Jos tuolla tavalla toimisi, niin mistä sitä tietää, vaikka siellä olisi lääkäreiden meiliosoitteet omalla rivillään, jolloin nekin tulisivat mukaan. Käytännössä vähintään yksi tiedosto on pakko avata, jotta tietää mitä niissä on.Sähköpostiosoitteiden (tai minkä vaan muunkin standardimuotoisen tekstin) hakeminen regexillä dokumenteista onnistuu vallan mainiosti vaikket itse niitä tiedostoja tai niiden sisältöjä katselisi.
Saisi hävetä, kun tuollaista paskaa edes suoltaa julkisuuteen.
No se on ihan täysin realistista, jos tarkoituksena on nimenomaan ollut perata hyvin rajatusta dokumenttijoukosta vain mailiosoitteet. Miksi turhaan vaivata päätään jollain tarkemmalla struktuurilla kun voi suoraan nakutella sen regexin ja hoitaa homman kuvatunlaisesti ilman mitään ongelmaa. Se että joukkoon menee mahdollisesti lääkäreidenkin osoitteita ei oikeastaan muuta palvelun käyttökelpoisuutta mihinkään.
- Liittynyt
- 16.10.2016
- Viestejä
- 19 636
Tiedän kyllä hyvin että se on teknisesti mahdollista, mutta ei yksikään kehittäjä toimi niin että alkaa arvailemaan mitä sieltä lähteistä tulee poimittua ja sitten tee sillä perusteella jotain verkkosovellusta, varsinkaan näin kriittisessä tapauksessa. Tuo heppu on lisäksi psykologi, joka on varmaan ajatellut, että kyllä hänellä on tittelin suomana suurempi oikeus niitä tiedostoja tutkia.
No tuo nyt on taas ihan sun omaa mutua että noin on menetelty. Jos tavoite on ollut luoda palvelu josta saa tarkistettua onko vuodetuissa omia tietoja, ilman että haluaa itse niitä dokumentteja lukea, niin sen tekeminen on hyvin suoraviivaista ja helppoa. Olisi vaikeampaa ja hitaampaa tehdä se sinun kuvaamallasi tavalla (ja joutuu lukemaan itse jonkun dokumentin), mutta toki sekin on ihan mahdollista. Voihan se olla että mitään skriptiä ei ole edes olemassa, vaan kaveri on lukenut kaikki dokumentit läpi ja kirjoittanut ne sähköpostiosoitteet ruutuvihkoon.
Viimeksi muokattu:
- Liittynyt
- 16.10.2016
- Viestejä
- 19 636
Ja sinun mutua on se, että maailmasta löytyisi ainuttakaan sovelluskehittäjää, joka tuottaisi julkiseen jakoon sovelluksen tietämättä mitä tietoja se loppujen lopuksi sisältää. En tarkoittanut, että pitäisi avata jokaista tiedostoa, vaan vähintään yksi, jotta tietää millaista tietoa sieltä pitää hakea. Pelkkä @-merkin etsiminen saattaisi tuottaa tietoja vääriltä riveiltä jne. Mutta joo, eiköhän tämä nyt kuitenkin riitä tästä aiheesta täällä.
Ja tuossa viimeisimmässä uutisessa kielsi avanneensa yhtään tiedostoa, kun varmaan säikähti poliisin julkisuuteen kertomaa kommenttia, että tietojen katsominen voi olla rikos. Lisäksi sitten vielä tosiaan niiden tietojen lataaminen omalle koneelle ja henkilörekisterin muodostaminen niistä.
Olikohan niille Vastaamosta aiemmin hävinneille potilastiedoille löytynyt joku selitys? Onko mahdollista, että tekijä olisi itse ollut yksi Vastaamon asiakkaista ja olisi huomannut omien potilastietojensa olevan erittäin huonosti suojattuja? Tämän huomattuaan hän olisi voinut poistaa omat tietonsa ja osan muistakin, ettei jäisi kiinni.
Mielenkiintoista tuo tietojen katsominen vs. tietojen katsomattomuus ja ohjelmanpätkä.
Jos hypoteettisesti ohjelmanpätkä ominsanoin tiivistää myös potilaskertomuksen, vaikkapa indeksoi kategorioihin (velhot, syrjähyppy, vihreät...) tai google-kääntää englanniksi ja takaisin, niin siinäkään tapauksessa ei tarvitse varastettua dokumenttia koskaan itse katsoa
Jos hypoteettisesti ohjelmanpätkä ominsanoin tiivistää myös potilaskertomuksen, vaikkapa indeksoi kategorioihin (velhot, syrjähyppy, vihreät...) tai google-kääntää englanniksi ja takaisin, niin siinäkään tapauksessa ei tarvitse varastettua dokumenttia koskaan itse katsoa
No aivan varmasti löytyy kehittäjiä jotka osaa tehdä asian suoraviivaisimmalla mahdollisella tavalla. Alkuperäinen kommenttini kohdistui vain tuohon sinun esittämääsi väitteeseen ettei muka olisi teknisesti mahdollista. En missään vaiheessa väittänyt että tämä heppu varmasti olisi niin tehnyt, vaan päinvastoin, viesteissäni mainitsen että voihan sen tehdä niitä dokumentteja lukemallakin.
Regexillä sähköpostien matchaaminen ei myöskään ole vaan mitään @-merkin etsimistä. Ja kun haetaan osoitteita vuodetusta aineistosta, niin sillä ei ole mitään väliä tuleeko mukaan myös ne lääkäreiden osoitteet.
On asiatonta syytellä muita tahoja paskapuheesta, jos keksii olemassa olemattoman teknisen rajoitteen minkä takia kertomus ei olisi totta.
Ja edelleenkin, kukaan muu kuin palvelun koodaaja ei tiedä miten ne osoitteet on sieltä perattu. Mutta mitään teknistä rajoitetta sille ei ole ettäkö olisi haettu ilman että itse olisi lukenut ainuttakaan dokumenttia.
Tälläinen tuli itselläni mieleen että voihan tuon sähköpostin parsia noista fileistä pelkästään sen perusteella mitä torilaudalla on noiden tiedostojen muodoksi nähnyt? Jos nyt siis takerrutaan siihen onko vai eikö ole avannut yhtäkään noista tiedostoista...
- Liittynyt
- 16.10.2016
- Viestejä
- 19 636
Älä vääristele, en ole missään sanonut ettei olisi teknisesti mahdollista kerätä sieltä osoitteita. Sanoin että "ei ole mitenkään mahdollista tehdä softaa avaamatta niitä, kun eihän sitä muuten voi tietää mitä siellä on ja mitä pitäisi etsiä". Ihan eri asia siis.
Jos kerrotaan että "voit tällä palvelulla tarkistaa ovatko potilastietosi vuotaneet", niin ei siellä mitään lääkäreiden osoitteita voi olla mukana.
Ja siis käytännössähän tuo menisi niin, että etsitään jokaisesta tiedostosta @-merkkiä ja poimitaan mukaan kaikki sen molemmilta puolilta ensimmäiseen välilyöntiin tai kaksoispisteeseen saakka. Silloin ei vain voi tietää onko se meiliosoite ollut siellä potilastietojen välissä, tai jossakin kaikista mahdollisista headereista (potilas, lääkäri, lähikontakti tms). Kun avaa tiedoston, saa tietää halutun rivin otsikon ja muut tarvittavat tiedot ja sen jälkeen siitä voi tehdä halutun skriptin.
Käsittämättömän naiivia ajatella, ettei kehittäjä olisi avannut ainuttakaan tiedostoa prosessin aikana, tai edes tarkistanut millään tavalla että palveluun päätyy oikeat tiedot.
Se on toki yksi vaihtoehto, jos luottaa jonkin torilaudan postauksiin ja siihen että siellä muotoilut ja merkistöt vastaavat todellisuutta. Aika huoletonta on meno siinä vaiheessa, kun tosiaan kyse on hyvin arkaluontoisten potilastietojen käsittelystä.
Nuo ovat tässä tapauksessa täsmälleen sama asia.
Kerrotaan että "Yle kirjoittaa, että itseään nörtiksi kuvaileva Aapo Puskala on avannut Tietovuodot.fi- verkkopalvelun, jossa Vastaamon asiakkaat voivat käydä katsomassa, ovatko omat tiedot rikollisen hallussa." Tuossa ei yksilöidä että kyse olisi pelkistä potilastiedoista. Ja jos sieltä on vuotanut niitä hoitavien lääkärien tai lähikontaktienkin osoitteita (ja mahd. muita tietoja), niin on relevanttia saada palvelun kautta niistäkin tieto.
Ihan käsittämättömän ylimielistä ajatella, että automaattisesti joku puhuisi paskaa, kun luulee itse että ei olisi mahdollista tuota tehdä lukematta niitä dokumentteja. Ja erittäin asiatonta syytellä toisia paskanpuhumisesta tekaistuilla syillä.
- Liittynyt
- 16.10.2016
- Viestejä
- 19 636
Eipä niistä ole näkynyt mitään puhetta. Tuo teoria ei vaan siinä mielessä oikein toimi, että ne tiedothan ilmeisesti olivat siellä kannassa, mutta eivät löytyneet loppukäyttäjille. Tämä perustuu siihen mitä se yksi potilas oli toimittajalle kertonut siitä, että tämä olisi jo aiemmin halunnut saada tietää mitä hänestä on kirjoitettu Vastaamon kantaan, mutta eivät sitten löytäneet sieltä koko henkilöä. Nyt oli kuitenkin tullut kiristysviesti meilinä, eli ilmeisesti tiedot olivat kannassa. Edit. Se on toki ihan mahdollista, että tietoja olisi poistettu sen murron jälkeen, mutta se on kaikki vain spekulaatiota.
No kun eivät ole. Tästä meidän on nyt vaan sovittava, että ollaan eri mieltä.
Ei minua tuo Ylen artikkeli kiinnosta, katso itse mitä siellä sivulla sanotaan. Siellä sanotaan ihan suoraan ja selvästi, että mukana on vain asiakkaita.
Viimeksi muokattu:
- Liittynyt
- 21.10.2018
- Viestejä
- 21
Missä kohtaa tuossa sanotaan että "vain asiakkaita"?Ei minua tuo Ylen artikkeli kiinnosta, katso itse mitä siellä sivulla sanotaan. Siellä sanotaan ihan suoraan ja selvästi, että mukana on vain asiakkaita.
Sori nyt vaan, mutta tässä jankkaamisessa ei ole kyse mielipiteistä ja sinä olet tässä keskustelussa väärässä.
No siis totuudenhan tietää vain tuo palvelun koodannut kaveri itse, mutta jos haluaa omaa berberiään vielä koittaa pelastaa niin mahdollisuuksiahan on monia toteuttaa tuollainen palvelu avaamatta yhtäkään noista vuodetuista tiedoista. Esim. tuolla torilaudallakin noita tietoja julkaistiin toista kymmentä, joissa kaikissa tuo "headeri" oli sama. Muutaman noista kun katsoo jonka jälkeen voikin tehdä vaikka pyhtonilla scriptin joka poimii joka tiedostosta rivin X jos se sisältää @ symbolin, ja sen jälkeen parsii ylimääräiset pois. Tulostaa listan ja kattoo että näyttää edes jotenkin järkevältä.
Jos tota dataa tosiaan on reilut 10 gigaa niin sen dumppaaminenkin kestää jo hetken. Riippuen millä tyylillä tuo dumppi on tehty niin se on voinut lukita kannan dumppauksen ajaksi joka on voinut sitten käyttäjille näyttäytyä niin että datoja ei löytyisi.
Olisihan tietomurron tekijä voinut ensin kopioida tietokannan itselleen ja poistanut tietoja vain alkuperäisestä kannasta. Tällöin kiristysviestit menisivät myös poistetuille henkilöille.
- Liittynyt
- 16.10.2016
- Viestejä
- 19 636
Niin, kaikki on mahdollista. Tuossakin vaan taitaa se käsittelyn raja ylittyä. Sitä paitsi pelkästään email-osoitteen näkeminenkin lienee rajan ylittävä asia, koska siinä vaiheessa käsittelijä tietää että henkilö x on ollut Vastaamon asiakas. Se on käsittääkseni tälläisessä yhtälössä osaltaan potilastietoa sekin.
Ymmärrän kyllä hyvin tuon palvelun tarpeen, hyödyn ja toiminnan. Minua kiinnostaa tässä kokonaisuudessa edelleen vain se lainopillinen puoli, eli missä menee raja millaisenkin tiedon käsittelyssä ja katsotaanko tuota sormien läpi, jos tarkoitus on ollut hyvä jne? Eilen siitä ainakin uutisoitiin, että tietosuojavaltuutettu joutuu tekemään siitä tutkinnan.
Jep. Editoin tämän vaihtoehdon jo aiemmin tuohon edelliseen viestiini.
Sähköposti on usein muotoa etunimi ja sukunimi alussa.
Sähköpostiosoite paljastaa silloin suoraan että kyseinen henkilö on ollut hoitosuhteessa kyseiseen kallonkutistus-firmaan.
Tieto henkilön hoitosuhteesta on jo potilastietojen väärinkäyttöä.
Eli taitaa olla syvälle kusessa sen tietojentarkituspalvelun toteuttaja vaikka tarkoitus varmaan ollut hyvä.
Jos tietomurron tekijä on itse ollut kyseisen firman asiakas, niin kenties silloin voisi olla viisas hämäys vuotaa niiden ensimmäisten nimien joukossa omatkin potilastiedot. Välttämättä sherlokeille ei tule mieleen edes, että hämäyksen vuoksi vuosi samalla siinä myös omat tiedot ettei kukaan osaisi epäillä ainakaan häntä syylliseksi.
Yritykset | Psykoterapiakeskus Vastaamolla on alan silmissä kehno maine: Harhaanjohtavaa mainontaa, painostusta ja ”härskiä toimintaa”
HS:n haastattelemat psykoterapeutit kertovat nopeasti kasvaneen Vastaamon aggressiivisesta viestinnästä, painostuksesta ja kyseenalaisesta markkinoinnista.www.hs.fi
Näköjään alan ammattilaisten näkökulmasta ollut Vastaamolla huono maine jo kauan ennen tätä paskamyrskyä
Aika helkkarin moni on valinnut olla tuolla hommissa/alihankkijana ja yritys on kasvanut todella vauhdilla. Taitaa tämä huono maine olla yksittäisten ihmisten ajattelua ja/tai jälkipuheita.
Uutiset
-
Roccat-pelibrändi tiensä päässä – mallisto integroituu Turtle Beachin tarjontaan
19.4.2024 14:58
-
Live: io-techin Tekniikkapodcast (16/2024)
19.4.2024 14:18
-
Intelin Xeon 6 -prosessorit vuotojen kohteina
19.4.2024 02:56
-
Razerin uusi Firefly V2 Pro -pelihiirimatto vie RGB-valaistuksen uusiin ulottuvuuksiin
19.4.2024 02:30
-
Harrastajaprojektit pitävät 3dfx:n Voodoot hengissä
19.4.2024 01:36
