This posting is here to collect cyber security news October 2020.
I post links to security vulnerability news with short descriptions to comments section of this article.
If you are interested in cyber security trends, read my Cyber security trends 2020 posting.
You are also free to post related links to comments.
249 Comments
Tomi Engdahl says:
GOOGLE MEDDLING WITH URLS IN EMAILS, CAUSING SECURITY CONCERNS
https://hackaday.com/2020/10/21/google-meddling-with-urls-in-emails-causing-security-concerns/
Google is one of the world’s largest e-mail providers, both with its consumer-targeted Gmail product as well as G Suite for business customers [Jeffrey Paul] is a user of the latter, and was surprised to find that URLs in incoming emails were being modified by the service when fetched via the Internet Message Access Protocol (IMAP) used by external email readers.
This change appears to make it impossible for IMAP users to see the original email without logging into the web interface, it breaks verification of the cryptographic signatures, and it came as a surprise.
For a subset of users, it appears Google is modifying URLs in the body of emails to instead go through their own link-checking and redirect service. This involves actually editing the body of the email before it reaches the user. This means that even those using external clients to fetch email over IMAP are affected, with no way to access the original raw email they were sent.
The security implications are serious enough that many doubted the initial story, suspecting that the editing was only happening within the Gmail app or through the web client. However, a source claiming to work for Google confirmed that the new feature is being rolled out to G Suite customers, and can be switched off if so desired. Reaching out to Google for comment, we were directed to their help page on the topic.
https://support.google.com/mail/answer/10173182
Tomi Engdahl says:
Useat tahot tutkivat psykoterapiakeskus Vastaamon tietomurtoa ja
kiristystä Kyberturvallisuuskeskus pitää tapausta poikkeuksellisena
https://yle.fi/uutiset/3-11605223
Psykoterapiakeskus Vastaamoon on tehty tietomurto. Yritys kertoo
tiedotteessaan, että ulkopuolinen henkilö on ollut heihin yhteydessä
ja kertonut saaneensa asiakkaiden luottamuksellisia tietoja..
Tiedoista on myös yritetty kiristää rahaa.. katso myös
https://www.is.fi/digitoday/tietoturva/art-2000006677282.html
Tomi Engdahl says:
Cisco warns of attacks targeting high severity router vulnerability
https://www.bleepingcomputer.com/news/security/cisco-warns-of-attacks-targeting-high-severity-router-vulnerability/
Cisco today warned of attacks actively targeting the CVE-2020-3118
high severity vulnerability found to affect multiple carrier-grade
routers that run the company’s Cisco IOS XR Software..
Tomi Engdahl says:
Microsoft says it took down 94% of TrickBot’s command and control
servers
https://www.zdnet.com/article/microsoft-says-it-took-down-94-of-trickbots-command-and-control-servers/
TrickBot survived an initial takedown attempt, but Microsoft and its
partners are countering TrickBot operators after every move, taking
down any new infrastructure the group is attempting to bring up
online.. see also
https://www.bleepingcomputer.com/news/security/trickbot-malware-under-siege-from-all-sides-and-its-working/
Tomi Engdahl says:
LockBit ransomware moves quietly on the network, strikes fast
https://www.bleepingcomputer.com/news/security/lockbit-ransomware-moves-quietly-on-the-network-strikes-fast/
LockBit ransomware takes as little as five minutes to deploy the
encryption routine on target systems once it lands on the victim
network.
Tomi Engdahl says:
Montreal’s STM public transport system hit by ransomware attack
https://www.bleepingcomputer.com/news/security/montreals-stm-public-transport-system-hit-by-ransomware-attack/
Montreal’s Société de transport de Montréal (STM) public transport
system was hit with a RansomExx ransomware attack that has impacted
services and online systems.
Tomi Engdahl says:
MobileIron enterprise MDM servers under attack from DDoS gangs,
nation-states
https://www.zdnet.com/article/mobileiron-enterprise-mdm-servers-under-attack-from-ddos-gangs-nation-states/
Threat actors range from DDoS botnets to Chinese state-sponsored
hacking groups.
Tomi Engdahl says:
QNAP warns of Windows Zerologon flaw affecting some NAS devices
https://www.bleepingcomputer.com/news/security/qnap-warns-of-windows-zerologon-flaw-affecting-some-nas-devices/
Network-attached storage device maker QNAP warns customers that some
NAS storage devices running vulnerable versions of the QTS operating
system are exposed to attacks attempting to exploit the critical
Windows ZeroLogon (CVE-2020-1472) vulnerability.
Tomi Engdahl says:
VMware Patches Critical Code Execution Vulnerability in ESXi
https://www.securityweek.com/vmware-patches-critical-code-execution-vulnerability-esxi
Tomi Engdahl says:
https://www.securityweek.com/iot-security-foundation-launches-vulnerability-reporting-platform
Tomi Engdahl says:
Activists Build Facial Recognition to ID Cops Who Hide Their Badges
https://futurism.com/the-byte/activists-build-facial-recognition-id-cops-hide-badges
In order to hold police accountable when they try to hide their identities, a growing number of activists are developing facial recognition tools that identify cops, The New York Times reports — a striking inversion of the way cops tend to use facial recognition on protestors and suspects.
It’s a satisfying role reversal. Police are hiding their identities while cracking down on protests, in other words, just to be outed by the same invasive technology that they use to surveil the populace.
Building these tools has become simple, the NYT reports, due to increasingly common off-the-shelf software. The real challenge, activists say, is finding enough images of local police to train the algorithm. They’ve had luck on social media, they told the newspaper.
“For a while now, everyone was aware the big guys could use this to identify and oppress the little guys, but we’re now approaching the technological threshold where the little guys can do it to the big guys,” Andrew Maximov, a developer working on a similar project, told the NYT. “It’s not just the loss of anonymity. It’s the threat of infamy.”
Tomi Engdahl says:
“Donald Trump’s Twitter account was hacked last week, after a Dutch researcher correctly guessed the president’s password: “maga2020!”.”
Trump’s Twitter account hacked after Dutch researcher guessed password
Victor Gevers had access to president’s direct messages and could post tweets after trying the password ‘maga2020!’
https://www.theguardian.com/us-news/2020/oct/22/trump-twitter-hacked-dutch-researcher-password
Donald Trump’s Twitter account was hacked last week, after a Dutch researcher correctly guessed the president’s password: “maga2020!”.
Victor Gevers, a security expert, had access to Trump’s direct messages, could post tweets in his name and change his profile, De Volkskrant newspaper reported.
Gevers – who previously managed to log into Trump’s account in 2016 – gained access by guessing Trump’s password. He tried “maga2020!” on his fifth attempt and it worked. Maga stands for Trump’s oft used campaign slogan Make America Great Again.
“I expected to be blocked after four failed attempts. Or at least would be asked to provide additional information,” Gevers told De Volkskrant.
Gevers said the ease with which he accessed Trump’s account suggested the president was not using basic security measures like two-step verification.
“So, he tries to warn others. Trump’s campaign team, his family. He sends messages via Twitter asking if someone will call Trump’s attention to the fact that his Twitter account is not safe. He tags the CIA, the White House, the FBI, Twitter themselves. No response,” the paper reported.
A day after he gained access, Gevers noticed that two-step verification had been activated on Trump’s account. Two days later, the Secret Service got in touch. According to De Volkskrant, they thanked him for bringing the security problem to their attention.
Tomi Engdahl says:
TRUMP’S TWITTER “HACKED”
Dutch Ethical Hacker Logs into Trump’s Twitter Account
https://www.volkskrant.nl/nieuws-achtergrond/dutch-ethical-hacker-logs-into-trump-s-twitter-account~badaa815/?referrer=http%3A%2F%2Fm.facebook.com%2F
Last week a Dutch security researcher succeeded in logging into the Twitter account of the American President Donald Trump. Trump, an active Twitterer with 87 million followers, had an extremely weak and easy to guess password and had according to the researcher, not applied two-step verification.
The researcher, Victor Gevers, had access to Trump’s personal messages, could post tweets in his name and change his profile. Gevers took screenshots when he had access to Trump’s account. These screenshots were shared with de Volkskrant by the monthly opinion magazine Vrij Nederland. Dutch security experts find Gevers’ claim credible.
https://www.vn.nl/trump-twitter-hacked-again/
Tomi Engdahl says:
Twitter says ‘no evidence’ Trump’s account was hacked with laughably bad password
https://mashable.com/article/trump-twitter-hacked-password-maga2020/?europe=true
There is almost no medium on the face of the earth as powerful as President Donald Trump’s Twitter account.
It’s where he attacks his many perceived enemies, announces foreign policy decisions, hell, it’s even where he fires people. It’s believable the president would do anything from his Twitter account. If Trump wanted to start a war, it wouldn’t be too shocking if we find out from Twitter.
So, it’s frankly scary — and darkly hilarious — that a hacker reportedly gained access to Trump’s personal Twitter account by simply guessing the password “maga2020!” The account reportedly didn’t even have two-factor authentication. That means all you needed to gain access to the account — say, if you were a bad actor — was that quite simple password.
A Twitter spokesperson, however, told Mashable that the company had “no evidence” to corroborate the claim of the alleged hack.
Volkskrant reported that Dutch security experts found the claims credible.
“We’ve seen no evidence to corroborate this claim, including from the article published in the Netherlands today. We proactively implemented account security measures for a designated group of high-profile, election-related Twitter accounts in the United States, including federal branches of government,” a Twitter spokesperson said in an email to Mashable.
There’s no real way to independently confirm if the account was actually hacked. Mashable has reached out Gevers, the White House, and Trump’s campaign for comment and confirmation, but has not yet received responses.
Gevers told the Dutch newspaper de Volkskrant that he alerted the White House and the U.S. government about Trump’s account’s vulnerability, and that he was then contacted by the Secret Service.
This isn’t even the first time Gevers apparently gained access to Trump’s account.
Gevers told Vrij Nederland that he ran though a few obvious passwords — “!IWillAmericaGreatAgain!, MakeAmericaGreatAgain, MakeAmericaGreatAgain!, Maga2020, Maga2020!” — before landing on “maga2020!” He hinted in the interview that he might’ve left breadcrumbs behind proving he accessed Trump’s account in an effort to get the White House to take security seriously.
“I am not saying I did it,” Gevers said to Vrij Nederland. “But what if I was the one to post the tweet? Then Trump will need to either admit to never having read the Babylon Bee article and posting this bullshit tweet, OR he will need to acknowledge that someone else posted the tweet.”
Tomi Engdahl says:
Psykoterapiakeskus Vastaamon kiristäjä julkaisi yöllä lisää erittäin
arkaluontoisia potilaskertomuksia
https://yle.fi/uutiset/3-11606925
Psykoterapiakeskus Vastaamoa kiristävä henkilö on julkaissut yöllä
Tor-verkossa lisää varastamiaan potilastietoja. Potilastiedoista
ilmenee Vastaamon asiakkaiden nimet, osoitteet, henkilötunnukset ja
potilaskertomukset.. katso myös
https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/poliisi_jatkaa_epaillyn_torkean_tietomurron_tutkintaa_uhreja_pyydetaan_tekemaan_rikosilmoitus_94140?language=fi
Tomi Engdahl says:
China reveals audit of 320,000 local apps, with 34 booted from app stores and hundreds of devs warned they could suffer same fate
Privacy crackdown in the land of ubiquitous surveillance, where 5G now blankets all cities
https://www.theregister.com/2020/10/23/china_app_privacy_review/
Through most of 2020 bans on Chinese apps have meant geopolitical strife, but China yesterday revealed it has started banning some of its own apps.
A ban on 34 apps was among the nuggets of news revealed, with their banishment from local app stores the result of a departmental trawl of 320,000 apps offered in local download-marts. The trawl found over 1,110 developers had mis-used personal information, deceived users, harassed users or displayed what online translate-o-tronic services describe as “Insufficient implementation of application distribution platform responsibilities.”
The press conference also revealed that China has installed 690,000 5G base stations, which in a complete surprise is well ahead of national targets that called for 500,000 such installations this year.
That number of base stations means that officials declared China’s prefectures and cities are now covered by 5G.
The ministry also said that 108 million 5G handsets shipped in China between January and September, and that the nation now has 160 million devices on 5G networks. Those numbers seem plausible, as the nation’s largest carrier, China Mobile, earlier this week told the Hong Kong Stock Exchange [PDF] that it has secured 114 million 5G subscribers (and has another 770 million 4G customers).
Officials also hailed the performance of China’s internet during lockdown, noting that even as traffic surged by 70 percent in the city of Wuhan local ISPs did not need to restrict access to high definition video as happened in many western nations.
Tomi Engdahl says:
Apulaistietosuojavaltuutettu määräsi Psykoterapiakeskus Vastaamon ilmoittamaan tietomurron kohteeksi joutuneille asiakkailleen henkilökohtaisesti
https://www.oikeusmedia.uutisparkki.com/2020/10/23/apulaistietosuojavaltuutettu-maarasi-psykoterapiakeskus-vastaamon-ilmoittamaan-tietomurron-kohteeksi-joutuneille-asiakkailleen-henkilokohtaisesti/
Apulaistietosuojavaltuutettu määräsi tietomurron kohteeksi joutuneen Psykoterapiakeskus Vastaamon ilmoittamaan rekisteröidyille tietoturvaloukkauksesta henkilökohtaisesti ilman aiheetonta viivytystä. Apulaistietosuojavaltuutettu katsoo, ettei ilmoitus pelkästään Vastaamon verkkosivuilla ole riittävän tehokas keino tietoturvaloukkauksesta ilmoittamiseksi.
Rekisterinpitäjän tulee ilmoittaa tiedossaan oleville tietoturvaloukkauksen kohteena oleville rekisteröidyille tietoturvaloukkauksesta henkilökohtaisesti, esimerkiksi postitse tai sähköposti- tai tekstiviestillä. Rekisterinpitäjä on ryhtynyt asiassa toimenpiteisiin.
Rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeästi tietoturvaloukkaus ja sen todennäköiset seuraukset rekisteröidylle sekä toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai aikoo toteuttaa tietoturvaloukkauksen vuoksi. Lisäksi ilmoituksessa on kerrottava rekisterinpitäjän yhteystiedot, josta rekisteröity voi saada lisätietoa.
https://vastaamo.fi/ajankohtaista/
Tomi Engdahl says:
https://www.distractify.com/p/dutch-researcher-guesses-donald-trumps-twitter-password?utm_source=dfy&utm_medium=fb
Tomi Engdahl says:
Police in all 50 states are using secret tools to break into locked phones — and they’re using them for cases as low-level as shoplifting, records show
https://www.businessinsider.fr/us/police-tools-crack-locked-smartphones-2020-10
Once they break into someone’s phones, police can extract their photos, text messages, contacts, and web browsing history.
More than 2,000 police departments across all 50 states have purchased high-tech tools that can crack into locked, encrypted smartphones, according to a new report.
Documents surfaced through open records requests by the Washington nonprofit Upturn show that police use phone-cracking technology far more often than previously known — and often without a warrant.
It’s routine for police to unlock suspects’ smartphones as part of investigations, but the documents show phone-cracking tools are frequently used on suspects of low-level crimes like shoplifting — and civil liberties groups worry the practice puts people’s privacy at risk.
Tech companies have promoted the existence of phone-cracking tools for years, which rapidly extract and copy information from phones in order to make the data easily searchable by police. For phones that are locked or encrypted, the devices exploit security vulnerabilities and design flaws to break in — but little is known about their specific technical capabilities, or how widely they’re used, and firms that sell the devices closely guard the methods used to crack encryption.
The tools are sold by firms including Grayshift, Cellebrite, and AccessData. Police spend anywhere from $9,000 to more than $20,000 to buy and license the tools, according to records published by Upturn. Phones that are more difficult to break into — like the newest iPhone models — can be shipped to companies like Cellebrite, which charges from thousands of dollars to unlock a single phone.
“Every American is at risk of having their phone forensically searched by law enforcement,” Upturn researchers Logan Koepke, Emma Weil, Urmila Janardan, Tinuola Dada, and Harlan Yu wrote in their report.
Tomi Engdahl says:
https://www.oikeusmedia.uutisparkki.com/2020/10/23/suomen-asiakastieto-identiteettivarkauteen-on-puututtava-nopeasti/
Tomi Engdahl says:
Louisiana Calls Out National Guard to Fight Ransomware Surge
https://threatpost.com/louisiana-national-guard-ransomware/160508/
Tomi Engdahl says:
”Vastaamon tietojen vuotaminen on sähköisen maailman suuronnettomuus. Asian vähätteleminen siksi, että se on digitaalinen, on rikoksen uhrien ja heidän hätänsä laiminlyöntiä sekä suoranainen potku digitalisaation hengen jalkoväliin.”
Vastaamon tietomurto on sähköisen maailman suuronnettomuustilanne, mutta missä ovat jumalanpalvelukset ja kriisipäivystys?
https://www.hs.fi/kotimaa/art-2000006698776.html?share=bd6a263c6cff2a7314ea6a09e9a3c916
Satojen, jopa tuhansien ihmisten potilastietojen vuotaminen osuu erityisen herkkään kohderyhmään. Vain harva auttaa koska vain harva ymmärtää tilanteen vakavuutta. Mielen vauriot ja sähköinen ympäristö eivät kelpaa tekosyyksi jättää uhrien tarvitsemaa apua järjestämättä, kirjoittaa tietoturvaan perehtynyt ulkomaantoimittaja Laura Halminen.
JOS SUOMEA kohtaisi suuronnettomuustilanne, jossa olisi vaikkapa sata loukkaantunutta, paikallisessa kirkossa olisi jumalanpalvelus ja kriisiapua viimeistään seuraavana iltana. Sosiaalitoimen kriisipalvelut kutsuisivat työntekijät ylitöihin tehostettuun valmiuteen ja tiedottaisivat tarjoamastaan avusta. Kolmas sektori avaisi kriisichatteja, Punainen Risti tulisi paikan päälle tarjoamaan keskusteluapua ja ehkä jopa kahvia.
Kun katastrofi sattuu internetissä eikä kenestäkään näytä valuvan verta, syntyy vaivautunut hiljaisuus. Ministerit eivät keräänny kilvan Twitteriin esittämään myötätuntoa eikä sosiaalitoimi ilmoittaudu auttamaan.
PSYKOTERAPIAKESKUS Vastaamoon tehtiin tietomurto mahdollisesti jo loppuvuodesta 2018. Jos murron epäillyn tekijän sanaa on uskominen, hänen hallussaan on jopa 40 000 ihmisen rekisteri, joka sisältää useiden potilaiden potilaskertomukset. Tekijä on yrittänyt kiristää Vastaamoa, ja varmuudella vähintään 300:n, mutta jopa 2 000 ihmisen tietoja oli julkaistu lauantaiaamuun mennessä.
Nämä rikoksen uhrit ovat loukkaantuneita, ja heitä on paljon enemmän kuin sata.
Poliisi on neuvonut uhreja tekemään rikosilmoituksen.
Terapiakeskus Vastaamo lähestyi asiakkaitaan eli vuodon uhreja vasta seuraavana päivänä sen jälkeen, kun uhrit olivat saaneet lukea asiasta uutisista. Sähköpostissa kerrottiin, että kannattaa tehdä rikosilmoitus ja että luottokorttitietoja ei ole, joten niitä ei ole vuodettu. Monelle jäi oikeutetusti typertynyt olo. Uhrit eivät tienneet, onko juuri heidän arkaluontoiset tietonsa varastettu ja julkaistu, eivätkä oikeastaan mitään muutakaan.
Kuka auttaisi?
Suomessa kriisiavun järjestäminen kuuluu kunnille.
ONKO kriisipäivystyksissä asiantuntemusta auttaa valtakunnallisen tietomurron uhriksi joutunutta, vaikka luottokiellon tekemisessä tai neuvomisessa, miten omien tietojen vuotamista verkkoon voi seurata? Rikosuhripäivystys on Yleisradion mukaan jo ruuhkautunut.
Uhrien huoli ja epätietoisuus on raastavaa seurattavaa, ja kynnys hakea apua jo valmiiksi häpeää aiheuttavassa asiassa voi olla korkea.
Entä kuka maksaisi luottokiellon hankkimisesta koituvat kustannukset? Kuinka arvioida, minkä hintaiseksi koituu häpeä vuotaneista tiedoista? Entä mihin uhri enää uskaltaa mennä hakemaan keskusteluapua ilman pelkoa siitä, että avuntarjoaja vaarantaa uhrin yksityisyyden taas?
Vastaamon tietojen vuotaminen on sähköisen maailman suuronnettomuus. Asian vähätteleminen siksi, että se on digitaalinen, on rikoksen uhrien ja heidän hätänsä laiminlyöntiä sekä suoranainen potku digitalisaation hengen jalkoväliin.
Tomi Engdahl says:
Nainen meni terapiaan puhumaan lapsuuden traumoistaan: Kaksi vuotta myöhemmin hän sai sähköpostin, jonka mukaan hänen tietonsa ovat vuotaneet
HS haastatteli kahta naista, joiden terapiakertomukset ovat mahdollisesti vuotaneet psykoterapiakeskus Vastaamon tietomurron yhteydessä.
https://www.hs.fi/kotimaa/art-2000006697917.html
Tomi Engdahl says:
Kriisipuhelin täyttyi järkyttyneistä kiristyksen uhreista lauantai-iltana – ”Aiheuttaa suurta huolta” https://www.is.fi/digitoday/tietoturva/art-2000006698958.html
Tomi Engdahl says:
Vastaamon asiakkaat saavat nyt henkilökohtaisia kiristysviestejä sähköpostitse – Poliisi: Toimi näin https://www.is.fi/digitoday/tietoturva/art-2000006698794.html
Tomi Engdahl says:
F-Securen Hyppönen Vastaamon asiakkaiden kiristämisestä: Kansainvälisestikin poikkeuksellinen tapaus
Hyppönen ei suosittele lunnaiden maksamista missään tilanteessa.
https://yle.fi/uutiset/3-11612224
Tomi Engdahl says:
Presidentti Niinistö Vastaamon tietomurrosta: Tämä koskettaa meitä
kaikkia
https://yle.fi/uutiset/3-11612492
Tasavallan presidentti Sauli Niinistön mukaan jokaisen on torjuttava
rikollisesti saatu tieto. Tasavallan presidentti Sauli Niinistö sanoo
Vastaamon tietomurron herättävän suurta vastenmielisyyttä tekoa
kohtaan, jota Niinistö kutsuu säälimättömän julmaksi. – Tämä koskettaa
meitä kaikkia. Jokaisesta meistä kertyy tietoa jatkuvasti eri
alustoille. Se koskee meitä myös niin, että meillä kaikilla on oma
sisin, jota haluamme varjella. Nyt sitä on loukattu, Niinistö sanoo
Ylen haastattelussa. myös: Ei anneta periksi kiristäjille -
https://www.hs.fi/kotimaa/art-2000006699105.html
Tomi Engdahl says:
Tietomurto on kolaus digitaaliselle yhteiskunnalle, sanoo
työelämäprofessori: “Meillä on ollut luottamus, että arkaluontoiset
asiat pysyvät oikeissa käsissä”
https://yle.fi/uutiset/3-11612420
Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarno
Limnéllin mukaan kriisin hoitaminen vaikuttaa jatkossa suomalaisten
luottamukseen digitaalista yhteiskuntaa kohtaan. myös: “Ministerien
kokoontuminen antaa viestin siitä, kuinka merkittävästä asiasta on
kysymys” – https://yle.fi/uutiset/3-11612588
Tomi Engdahl says:
Kommentti: Vastaamo-murto on valtava asia, eikä kiristäjä noudata
mitään sääntöjä – yhteiskunnan on nyt toimittava
https://www.is.fi/digitoday/tietoturva/art-2000006699139.html
Vastaamon kiristäjän toiminta tekee näkyväksi sen, miten kyberrikoksen
uhri joutuu kärsimään nähdessään vaivaa tietojensa suojelemiseksi. Sen
lisäksi, että vastuulliset on saatava esille, myös uhrien asemaa on
parannettava, kirjoittaa Ilta-Sanomien digitoimittaja Henrik
Kärkkäinen.
Suomalaiset valkohattuhakkerit kääntyivät Vastaamon kiristäjää vastaan
- – näin rikollista jäljitetään verkossa
https://www.is.fi/digitoday/tietoturva/art-2000006699462.html
TIETOTURVA-ASIANTUNTIJA Benjamin Särkkä sanoo, että suomalainen
valkohattuhakkeriryhmä haluaa palavasti psykoterapiakeskus Vastaamoon
tietomurron tehneen kiinni. Ryhmä on kerännyt internetistä löytyviä
tiedonmurusia ja digitaalisia jälkiä ja toimittanut kaikki löytämänsä
tiedot eteenpäin poliisille. Tiedot voivat olla vaikkapa
kuvakaappauksia sivustoista ja viesteistä tai metatietoa sisältävää
dataa.
Tomi Engdahl says:
Yhteydenotot Rikosuhripäivystykseen räjähtivät Vastaamo-kriisin takia
- – tärkeä vinkki uhreille
https://www.is.fi/digitoday/tietoturva/art-2000006699316.html
Rikosuhripäivystyksen toiminnanjohtaja Leena-Kaisa Åberg sanoo, että
perjantaina chatin keskustelumäärä seitsenkertaistui ja yhteydenotot
puhelimen välityksellä yli kahdeksankertaistuivat. Åbergin mukaan
ensisijainen vinkki on luottokiellon hakeminen, jottei verkkoon
vuodetun henkilötunnuksen perusteella kukaan voi tehdä luottokauppaa
tai verkko-ostoksia. Tietoa saa myös rekisteröintikiellosta, jolloin
varastetulla henkilötunnuksella ei voi perustaa yritystä eikä käyttää
sitä minkään yrityksen hallituksen päättävässä vastuuasemassa. myös:
Monet tahot tarjoavat nyt tukea tietomurron ja kiristyksen uhreille -
ota yhteyttä, jos tarvitset apua -
https://www.is.fi/digitoday/tietoturva/art-2000006698993.html ja
Vastaamon tietomurto sai uhrit tuskalliseen tilanteeseen – Mieli ry:
Koeta välttää ajatusten noidankehää, älä jää kauhukuvien kanssa yksin-
https://yle.fi/uutiset/3-11612444
Tomi Engdahl says:
Psykoterapiakeskus Vastaamo antoi lisätietoja tietomurrosta: “On
todennäköistä, että järjestelmäämme on tunkeuduttu kahdesti”
https://www.kauppalehti.fi/uutiset/psykoterapiakeskus-vastaamo-antoi-lisatietoja-tietomurrosta-on-todennakoista-etta-jarjestelmaamme-on-tunkeuduttu-kahdesti/bc10e0c3-d7ee-4ab7-9ca3-3bdcd9bed667
“Nykytiedon mukaan tietomurron kohteena oli asiakasrekisterimme
marraskuussa 2018. Olemme saaneet lisätietoja tapahtuneesta. On
todennäköistä, että järjestelmäämme on tunkeuduttu myös marraskuun
lopun 2018 ja maaliskuun 2019 välisenä aikana”, Vastaamo tiedottaa.
KRP tiedotti Vastaamon tietomurtojutusta – Anastettuja tietoja voi
olla kymmeniätuhansia, tuhannet tehneet rikosilmoituksen, Yle seurasi
hetki hetkeltä
https://yle.fi/uutiset/3-11612452
Keskusrikospoliisi tiedotti Vastaamon tietomurtotapauksesta
sunnuntaina iltapäivällä.
Tomi Engdahl says:
Toimintaohjeet rikoksen ilmoittamiseksi poliisille, kun
henkilötietojasi on jaettu verkossa Vastaamon tietomurrosta johtuen
tai olet vastaanottanut kiristyskirjeen
https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/toimintaohjeet_rikoksen_ilmoittamiseksi_poliisille_kun_henkilotietojasi_on_jaettu_verkossa_vastaamon_tietomurrosta_johtuen_tai_olet_vastaanottanut_kiristyskirjeen_94187
Tomi Engdahl says:
Inhimillinen virhe, haittaohjelma vai jotakin muuta? Kysyimme
asiantuntijalta, miten Vastaamon järkyttävä tietomurto oli mahdollinen
https://yle.fi/uutiset/3-11611051
Vuodon taustalla voi olla inhimillinen virhe ylläpidossa, joka on
mahdollistanut tietomurron. Silloin järjestelmän ylläpitäjä olisi
esimerkiksi paljastanut järjestelmästä sellaisia osia, joiden avulla
hyökkääjä on voinut ohittaa suojauksia. Se ei kuitenkaan ole ainoa
vaihtoehto, Liikenne- ja viestintäviraston Kyberturvallisuuskeskuksen
erityisasiantuntija Perttu Halonen arvioi. Halonen on erikoistunut
sosiaali- ja terveystoimen tietoturvaan.
Analyysi: Vastaamon tietomurto on kuin lento-onnettomuus hirveä
tilanne, josta kaikki voivat oppia jotain
https://yle.fi/uutiset/3-11611291
Vastaamon tapaus on kuin lento-onnettomuus hirveä tilanne, jossa
kaikki häviävät. Ainoa kuviteltavissa oleva positiivinen seuraus on,
että mustien laatikkojen löytymisen jälkeen selvitetään tapahtumien
kulku ja kaikki ottavat siitä opiksi. Näin toimitaan ilmailussa ja
toivottavasti myös tietosuojan parissa.
Tomi Engdahl says:
Mikko Hyppönen arvioi Vastaamon kiristäjän mahdollisuuksia jäädä
kiinni pitää tapausta ainutlaatuisena
https://www.is.fi/digitoday/tietoturva/art-2000006696775.html
Psykoterapiakeskus Vastaamoa kiristävää verkkorikollista voi olla
vaikea saada kiinni. Hän on julkaissut terapia-asiakkaiden henkilö-,
terapia- ja yhteystietoja salatussa Tor-verkossa ja viestinyt käyttäen
anonymisoituja sähköpostipalveluita, jotka eivät luovuta käyttäjien
tietoja. Jos hyökkääjä ei tee virheitä, hänen jäljilleen ei päästä.
Jos verkon salauspalveluita käyttää oikein, ne ovat käytännössä
murtamattomia, sanoo F-Securen tutkimusjohtaja Mikko Hyppönen.
Useimmat hyökkääjät kuitenkin tekevät virheitä. Sen vuoksi toivomme,
että hyökkääjä jää kiinni. Kyse on todella törkeästä tapauksesta.
Uusimmat tiedot Vastaamon tietomurrosta: Vastaamo on ollut myös Kelan
palvelutuottaja, kiristäjän verkkosivu palasi nettiin, HUSin, Tyksin,
Taysin ja Kanta-Hämeen keskussairaalan asiakastietoja voinut vuotaa
https://yle.fi/uutiset/3-11610267
Yle kokoaa tähän juttuun uusimmat tiedot Psykoterapiakeskus Vastaamon
tietomurrosta.
Tomi Engdahl says:
Toimi näin, jos tietojasi on vuodettu verkkoon
https://www.is.fi/digitoday/art-2000006697919.html
Psykoterapiakeskus Vastaamon tietomurto on nostanut nyt esiin
kysymyksiä siitä, mitä on tehtävä, jos omat tiedot on vuodettu
verkkoon. Tässä tiiviit ohjeet.
Tomi Engdahl says:
Botnet Infects Hundreds of Thousands of Websites
https://www.darkreading.com/attacks-breaches/botnet-infects-hundreds-of-thousands-of-websites/d/d-id/1339258
KashmirBlack has been targeting popular content management systems,
such as WordPress, Joomla, and Drupal, and using Dropbox and GitHub
for communication to hide its presence. also: CrimeOps of the
KashmirBlack Botnet Part II -
https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-ii/
Tomi Engdahl says:
Criminal cyberattack is ‘morally repugnant’ says angry mayor, as
council battles to restore services
https://www.zdnet.com/article/criminal-cyberattack-is-morally-repugnant-says-angry-mayor-as-council-battles-to-restore-services/
Hackney Council in London is continuing to try to restore services
after a “serious and complex” cyberattack 10 days ago disrupted a
number of its systems. “I am incredibly angry that organised criminals
have chosen to attack us in this way, and in the middle of dealing
with a global pandemic. It is morally repugnant, and is making it
harder for us to deliver the services you rely on, ” said Hackney’s
mayor, Philip Glanville.
Tomi Engdahl says:
New RAT malware gets commands via Discord, has ransomware feature
https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/
The new ‘Abaddon’ remote access trojan may be the first to use Discord
as a full-fledged command and control server that instructs the
malware on what tasks to perform on an infected PC. Even worse, a
ransomware feature is being developed for the malware.
Tomi Engdahl says:
Nvidia tackles code execution flaws, data leaks in GeForce Experience
https://www.zdnet.com/article/nvidia-tackles-code-execution-data-leaks-in-geforce-experience/
The worst of the bugs is an uncontrolled search path issue with
severe, exploitable consequences.
Tomi Engdahl says:
Vastaamon asiakkaat ovat saaneet henkilökohtaisia kiristysviestejä,
viesteissä vaaditaan 200-500 euron arvosta bitcoineja Poliisi:
“Kiristysviestin vaatimuksiin ei tule suostua”
https://www.hs.fi/kotimaa/art-2000006698803.html
Jos uhri ei maksa, kiristäjä uhkaa julkaista hänen tietonsa sisältäen
henkilötietojen lisäksi tarkan potilaskertomuksen, joka sisältää
litteroituna terapeutin kanssa käydyt keskustelut. Myös: Vastaamon
asiakkaat saavat nyt kiristysviestejä sähköposteihinsa viesteissä
vaaditaan 200-500 euron arvosta bitcoineja -
https://yle.fi/uutiset/3-11612183
Tomi Engdahl says:
Yksityishenkilöille on lähetetty kiristyssähköposteja älä suostu
vaatimuksiin, tee sähköinen rikosilmoitus, älä soita hätäkeskukseen
https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/yksityishenkiloille_on_lahetetty_kiristyssahkoposteja_ala_suostu_vaatimuksiin_tee_sahkoinen_rikosilmoitus_ala_soita_hatakeskukseen_94177
Kysymyksiä ja vastauksia identiteettivarkauden tai tietovuodon uhrille
https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/kysymyksia-ja-vastauksia-identiteettivarkauden-tai-tietovuodon-uhrille
Kyberturvallisuuskeskus on saanut yhteydenottoja liittyen tapaukseen,
jossa Vastaamon asiakastietoja on vuotanut verkkoon. Tällaisen
tilanteen sattuessa uhrille tai vaikkapa hänen läheiselleen herää moni
kysymyksiä, miten tässä tulisikaan toimia. Olemme koonneet tähän alle
yleisimpiä kysymyksiä sekä neuvoja, miten voit toimia, jos tietojasi
on vuotanut verkkoon tai sinulla on epäilys, että näin on käynyt.
Tomi Engdahl says:
Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit
Jättikö terapia-aineistoa vienyt tietomurtaja itsestään ratkaisevia
jälkiä vai onko kyse harhautuksesta?
https://www.hs.fi/kotimaa/art-2000006697995.html
Hakkerit löysivät tietomurtajasta jälkiä, jotka johtavat Inkooseen.
Kyseessä voi olla tietomurtajan sijainnista kertova ratkaiseva virhe,
tahallinen harhautus tai jotain muuta.
Vastaamon tietomurto moninkertaisti yhteydenotot
Rikosuhripäivystykseen lisäapua värvätty uhrien auttamiseksi
https://yle.fi/uutiset/3-11611857
Asiakas pyysi neljä vuotta sitten potilastietojaan, mutta niitä ei
löytynyt torstaina Vastaamo ilmoitti, että ne on varastettu.
Tomi Engdahl says:
Psykoterapiakeskuksen potilastietoja julkaistiin internetissä
syyllistytkö rikokseen, jos katsot niitä? Professori:
“Tulkintakysymys”
https://www.kauppalehti.fi/uutiset/psykoterapiakeskuksen-potilastietoja-julkaistiin-internetissa-syyllistytko-rikokseen-jos-katsot-niita-professori-tulkintakysymys/f2f83cf5-659e-47e3-b401-bb8846ddc250
Kiristäjät ovat tiedotusvälineiden tietojen mukaan julkaisseet
arkaluonteisia Psykoterapiakeskus Vastaamon asiakkaiden potilastietoja
Tor-verkossa.
Tomi Engdahl says:
Emotet malware now wants you to upgrade Microsoft Word
https://www.bleepingcomputer.com/news/security/emotet-malware-now-wants-you-to-upgrade-microsoft-word/
Emotet switched to a new template this week that pretends to be a
Microsoft Office message stating that Microsoft Word needs to be
updated to add a new feature.
Tomi Engdahl says:
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Psychotherapy centre’s database hacked, patient info held ransom
The company did not reveal when the hack took place, nor how extensive it was.
https://yle.fi/uutiset/osasto/news/psychotherapy_centres_database_hacked_patient_info_held_ransom/11605460
The privately-run psychotherapy centre Vastamo announced that sensitive information about its clients was leaked after its database was recently hacked, according to a company release issued on Wednesday.
The Helsinki-based company said that the hackers who stole the data made attempts to extort money in exchange for its return.
In its announcement about the incident on its website, the company said that customer data entered to the database after November 2018 had not been compromised.
“As a company that provides psychotherapy services, the confidentiality of customer information is extremely important to us and is the starting point of all our operations. We deeply regret the leak due to the hack. We are constantly developing our information security and data protection, and we will take additional measures when our internal investigations and regulatory probes are complete,” Kahri said in the statement, adding that the firm had not announced the leak previously due to the ongoing police investigation.
Tomi Engdahl says:
Finland shocked by therapy center hacking, client blackmail
https://abcnews.go.com/Health/wireStory/finland-shocked-therapy-center-hacking-client-blackmail-73817011
Finland’s interior minister has summoned key Cabinet members into an emergency meeting Sunday after hundreds — and possibly thousands — of patient records at a Finnish psychotherapy center were accessed by a hacker or hackers now demanding ransoms
Vastaamo, which has branches throughout the Nordic country of 5.5 million and operates as a sub-contractor for Finland’s public health system, said its client register with intimate patient information was likely stolen during two attacks that started almost two years ago.
The center said the unknown perpetrator or perpetrators had published at least 300 patient records containing names and contact information using the anonymous Tor communication software. “The blackmailer has started to approach victims of the security breach directly with extortion letters,” it said.
The National Bureau of Investigation said Sunday up to “tens of thousands” of Vastaamo clients may have had their personal data compromised. Police were looking for the possible culprits both in Finland and abroad.
Tomi Engdahl says:
Hackers hold patient information for ransom in psychotherapy data breach
https://newsnowfinland.fi/crime/hackers-hold-patient-information-for-ransom-in-psychotherapy-data-breach
The National Bureau of Investigations, and other agencies, have launched an investigation into how the data might have become compromised.
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Tomi Engdahl says:
Hackers hijack and publish mental health data of hundreds of people
https://www.foreigner.fi/articulo/national/scandal-over-the-hijack-and-and-publication-of-private-mental-health-data/20201023121903008599.html
The criminals demanded from the psychotherapy center Vastaamo 450,000 euros in exchange for stopping publishing the data. The release of patient data – including minors – ceased on Friday, sparking rumors about a possible payment.
Tomi Engdahl says:
Hackers behind life-threatening attack on chemical maker are
sanctioned
https://arstechnica.com/information-technology/2020/10/us-sanctions-russian-hackers-who-hit-chemical-maker-with-dangerous-malware/
It’s now unlawful for US persons to transact with lab owned by the
Russian government.
Tomi Engdahl says:
Russian Vehicle Registration Leak Reveals Additional GRU Hackers
https://www.bellingcat.com/news/uk-and-europe/2020/10/22/russian-vehicle-registration-leak-reveals-additional-gru-hackers/