Bombshell data breach ransom incident exploded in Finland. Psychotherapy center Vastaamo patient records were breached and ransom demands for not publishing data was sent to both company and patients. Patient data of 300 were already published on-line.
Vastaamo, which has branches throughout the Nordic country of 5.5 million and operates as a sub-contractor for Finland’s public health system, said its client register with intimate patient information was likely stolen during two attacks that started almost two years ago. The size of register is over 40 000 patients, so almost 1% of country population. Also some public hospital records could have leaked as company was a sub-contractor for handling records for some hospitals.
The privately-run psychotherapy centre Vastamo announced that sensitive information about its clients was leaked after its database was (not so) recently hacked.
The criminals demanded from the psychotherapy center Vastaamo 450,000 euros in exchange for stopping publishing the data. The center said the unknown perpetrator or perpetrators had published at least 300 patient records containing names and contact information using the anonymous Tor communication software.
The National Bureau of Investigations, and other agencies, have launched an investigation into how the data might have become compromised.
Hackers hijack and publish mental health data of hundreds of people
https://www.foreigner.fi/articulo/national/scandal-over-the-hijack-and-and-publication-of-private-mental-health-data/20201023121903008599.html
Finland shocked by therapy center hacking, client blackmail
https://abcnews.go.com/Health/wireStory/finland-shocked-therapy-center-hacking-client-blackmail-73817011
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Hackers hold patient information for ransom in psychotherapy data breach
https://newsnowfinland.fi/crime/hackers-hold-patient-information-for-ransom-in-psychotherapy-data-breach
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Psychotherapy centre’s database hacked, patient info held ransom
The company did not reveal when the hack took place, nor how extensive it was.
https://yle.fi/uutiset/osasto/news/psychotherapy_centres_database_hacked_patient_info_held_ransom/11605460
Vastaamon asiakkaat ovat saaneet henkilökohtaisia kiristysviestejä,
viesteissä vaaditaan 200-500 euron arvosta bitcoineja Poliisi:
“Kiristysviestin vaatimuksiin ei tule suostua”
https://www.hs.fi/kotimaa/art-2000006698803.html
Yksityishenkilöille on lähetetty kiristyssähköposteja älä suostu
vaatimuksiin, tee sähköinen rikosilmoitus, älä soita hätäkeskukseen
https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/yksityishenkiloille_on_lahetetty_kiristyssahkoposteja_ala_suostu_vaatimuksiin_tee_sahkoinen_rikosilmoitus_ala_soita_hatakeskukseen_94177
Mikko Hyppönen arvioi Vastaamon kiristäjän mahdollisuuksia jäädä
kiinni pitää tapausta ainutlaatuisena
https://www.is.fi/digitoday/tietoturva/art-2000006696775.html
Psykoterapiakeskuksen potilastietoja julkaistiin internetissä
syyllistytkö rikokseen, jos katsot niitä? Professori:
“Tulkintakysymys”
https://www.kauppalehti.fi/uutiset/psykoterapiakeskuksen-potilastietoja-julkaistiin-internetissa-syyllistytko-rikokseen-jos-katsot-niita-professori-tulkintakysymys/f2f83cf5-659e-47e3-b401-bb8846ddc250
Uusimmat tiedot Vastaamon tietomurrosta: Vastaamo on ollut myös Kelan
palvelutuottaja, kiristäjän verkkosivu palasi nettiin, HUSin, Tyksin,
Taysin ja Kanta-Hämeen keskussairaalan asiakastietoja voinut vuotaa
https://yle.fi/uutiset/3-11610267
Vastaamo company official announcement of breach
https://vastaamo.fi/ajankohtaista/
F-Secure’s Hyppönen on Vastamo’s hacking: “Most likely, an attacker has used automated tools to look for vulnerable services”
Hyppönen believes that Vastamo was the target of a data breach by accident.
Mikko Hyppönen, Research Director of the security company F-Secure, considers the hacking of the Psychotherapy Center Vastamo to be exceptional.
“Until now, professional criminals have sought to break into financial institutions, above all, or have tried to fish for credit card numbers. This is the first time subject to medical records. In the past, they have not interested criminals, ”says Hyppönen.
He said criminals have decided that sensitive health information may be of interest. Health information is available in a great many systems. It is possible that some systems are vulnerable.
Hyppönen believes that Vastamo was the target of a data breach by accident.
“Most likely, the attacker has used automated tools to look for vulnerable services. For example, a machine can tap thousands of login attempts per minute. Sooner or later, weakly protected services will be found, ”says Hyppönen.
Source:
F-Securen Hyppönen Vastaamon tietomurrosta: ”Todennäköisimmin hyökkääjä on automaattityökaluilla etsinyt haavoittuvia palveluita”
https://www.tivi.fi/uutiset/f-securen-hypponen-vastaamon-tietomurrosta-todennakoisimmin-hyokkaaja-on-automaattityokaluilla-etsinyt-haavoittuvia-palveluita/5e1f0b1f-b981-47f7-a622-a596366b208e
274 Comments
Tomi Engdahl says:
Pahin tapahtui: 31 980 Vastaamo-asiakastiedostoa leviää hallitsemattomasti netissä – ”Voi tapahtua ikäviä asioita” https://www.is.fi/digitoday/tietoturva/art-2000007767895.html
Tomi Engdahl says:
Vastaamon omistajat asettivat yhtiön selvitystilaan, terapiatoiminta jatkuu toistaiseksi – selvitysmies: Ensimmäinen tehtävä on löytää ostaja ja turvata palvelut
https://yle.fi/uutiset/3-11762440
Jos selvityksen tuloksena velkoja on enemmän kuin varoja, edessä voi olla konkurssi.
Yrityksen johto on käynyt kauppaneuvotteluita jo aikaisemmin, mutta nyt neuvotteluita on Nyyssösen mukaan tarkoitus jatkaa selvitystilamenettelyn kautta.
Vastaamolle on Nyyssösen mukaan tullut uusia asiakkaita tietovuodosta ja siitä seuranneesta julkisuudesta huolimatta. Hän ei osaa sanoa, kuinka paljon asiakkaita on tapauksen takia menetetty.
– Potilaita tulee kuitenkin jatkuvasti lisää. Yhtiö palvelee tuhansia asiakkaita tällä hetkellä.
Työntekijöitäkin on satoja
Tomi Engdahl says:
Vastaamon kauppahinta paljastui – ostajan ja Ville Tapion kertomukset täydessä ristiriidassa https://www.is.fi/digitoday/art-2000007776547.html
Tomi Engdahl says:
Viranomainen poistattaa Vastaamo-tietoja verkosta, mutta eroon niistä ei pääse – ”Todennäköisesti näin siinä käy” https://www.is.fi/digitoday/tietoturva/art-2000007776531.html
Tomi Engdahl says:
Someväitteiden mukaan Vastaamo-uhrien pankkitilejä tyhjennetty -
todellisuudessa kyse lienee kierosta huijauksesta Nordean ja OP:n
nimissä
https://www.is.fi/digitoday/tietoturva/art-2000007776104.html
Suomessa on meneillään kehittynyt OP:n ja Nordean nimissä tehtävä
tietojenkalastelu, joka sattuu samaan aikaan Vastaamon asiakastietojen
aktiivisen leviämisen kanssa. – Vastaamo-tiedoissa ei ole ollut
sellaisia tietoja, jotka tämän mahdollistaisivat. Siellä ei ole ollut
esimerkiksi käyttäjätunnus ja salasana -pareja tai luottokorttitietoja
varmistuskoodeineen, sanoo Liikenne- ja viestintävirasto Traficomin
Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontinen.
Tomi Engdahl says:
Viranomainen poistattaa Vastaamo-tietoja verkosta, mutta eroon niistä
ei pääse “Todennäköisesti näin siinä käy”
https://www.is.fi/digitoday/tietoturva/art-2000007776531.html
Vastaamon asiakasrekisteri päätyi verkkoon viime viikolla, ja se on
tämän jälkeen ilmestynyt useille tiedostonjakopalvelimille
internetiin. Latauslinkkejä on jaeltu muun muassa Tor-verkon
keskusteluissa ja mahdollisesti myös pikaviestimillä. Liikenne- ja
viestintävirasto Traficomin Kyberturvallisuuskeskuksen
tietoturva-asiantuntija Ville Kontisen mukaan tiedostoista on tehty
poistopyyntöjä “useita, muttei kymmeniä”. Käytännössä on melkein
mahdotonta pitää kirjaa siitä, moniko tiedoston on ladannut.
Tomi Engdahl says:
“Kun Vastaamo-tiedosto poistetaan yhdestä paikasta, se ilmestyy
kahteen uuteen” poliisilta vahva vetoomus netin käyttäjille
https://www.is.fi/digitoday/tietoturva/art-2000007768820.html
Vastaamo-tietojen jakaminen ja uudelleenjulkaiseminen on avannut uuden
haaran keskusrikospoliisin tutkinnassa. Poliisi peräänkuuluttaa verkon
käyttäjiltä yhteiskuntavastuuta. Poliisi vetoaa kansalaisiin, etteivät
nämä koskisi Vastaamo-tiedostoon tai jakaisi sitä eteenpäin. Sillä
saattaa olla rikosoikeudellisia seurauksia, mutta kyse on myös
vastuullisuudesta. – Poliisi korostaa tässä yhteiskuntavastuuta. Asiaa
kannattaa miettiä siltä kanalta, että mitä jos olisi itse jaettujen
tietojen joukossa, Leponen sanoo.
Tomi Engdahl says:
Pahin tapahtui: 31 980 Vastaamo-asiakastiedostoa leviää
hallitsemattomasti netissä “Voi tapahtua ikäviä asioita”
https://www.is.fi/digitoday/tietoturva/art-2000007767895.html
Vastaamon asiakastietoja on julkaistu usealla
tiedostonjakopalvelimella. Kissa ja hiiri -leikki on alkanut.
Tomi Engdahl says:
Ehkä jopa 32 000 Vastaamon potilaan tiedot ilmestyivät viime yönä
Tor-verkkoon poliisi: “Emme tiedä, monenko käsissä tietokanta on”
https://yle.fi/uutiset/3-11757676
Ainakin osa julkaistuista potilastiedoista on aitoja eli luultavasti
peräisin Vastaamon tietomurrosta. Also:
https://www.is.fi/digitoday/tietoturva/art-2000007765480.html. Also:
https://www.tivi.fi/uutiset/tv/1858de83-77c0-45b8-99db-be668fd56876.
Also: https://www.is.fi/digitoday/tietoturva/art-2000007765875.html.
Also:
https://www.kauppalehti.fi/uutiset/vastaamon-anastetut-potilastiedot-vuotivat-julki-yle-jopa-30-000-suomalaisen-tietoja-esilla-pimeassa-verkossa/f9027016-fb5b-4cc7-86ac-381c167f592f
Tomi Engdahl says:
Vastaamon asiakastietojen hyödyntämisestä väitteitä poliisi: Ei
näyttöä laajamittaisesta väärinkäytöstä. Poliisilla on tiedossa
muutamia yksittäistapauksia.
https://www.is.fi/digitoday/tietoturva/art-2000007762288.html
Tomi Engdahl says:
MTV: Vastaamon tietokanta vuoti suojaamattomasta MySQL-portista? It-työntekijöillä eri versio oikeudessa kuin ex-pomolla
https://www.tivi.fi/uutiset/tv/a7da0d07-24b1-411d-961c-b117985afcbd
Viime vuonna paljastunut Vastaamon tietomurto ja yhtiön myyntiprosessi on edennyt käräjäoikeuden käsittelyyn.
MTV uutisoi käräjäoikeuden asiakirjojen perusteella, että yhtiön nykyiset omistajat riitelevät yrityksen perustaneiden Tapioiden perheen kanssa oikeuden turvaamistoimihakemuksesta eli takavarikosta. Tapioilta otettiin viime syksyllä takavarikkoon kauppasumman verran rahaa eli lähes 10 miljoonaa euroa.
Kiistaa on siitä, tiesikö myyjä ennen yrityskauppaan tietovuodosta ja onko se peruste kaupan purkamiselle.
Tapio palkkasi tietoturvayhtiö Nixun tutkimaan Vastaamon tietomurtoa, kun Vastaamolle lähetettiin kiristysviesti loppuvuodesta 2020 ja pian sen jälkeen myös yhtiön asiakkaille.
Nixun selvityksen mukaan Vastaamon tietokannassa oli puutteellinen lokimerkintä, joka paljasti epäilyttävän kirjautumisen jo 20.12.2018.
Suurempaa huomiota keräsi 15.3.2019 tapahtunut häiriö, Silloin ulkopuolinen taho on tunkeutunut tietokantaan, tuhonnut sen ja jättänyt tilalle kiristysviestin. Nixun mukaan on todennäköistä, että A tai B huomasi viestin, joka on luettu 15.3. kaksikon yhteisellä pääkäyttäjätunnuksella. Myöhemmin maaliskuussa palvelimen tietoturvaa on parannettu tietoturvaohjelmistoilla ja palomuuriasetuksilla.
Vastaamo ilmoitti Valviralle 24.3.2019 alustavalla vaaratilanneilmoituksella, että järjestelmä pantiin huoltokatkolle tietojen katoamisen vuoksi, mutta että viitteitä asiakastietojen vuotamisesta ei ollut. Ville Tapio totesi 30.4.2019 haastattelupöytäkirjan mukaan, että aktualisoituneita loukkauksia ovat “vain datahuoneeseen ilmoitetut asiat”.
Ville Tapio ei halunnut potilastietoihin vedoten laajempaa tietoturvatarkastusta. Rajatussa itdd-tarkastuksessa tietomurto tai tietoturvan heikko tola eivät paljastuneet.
Nixun selvityksessä arvioidaan, että todennäköisin syy tietokantavuodolle on ollut suojaamaton MySQL-portti, jonka kautta tietokanta olisi ladattu.
Ville Tapio huomauttaa tilanneensa Nixun selvityksen tietomurron paljastuttua hänelle loppuvuodesta 2020. Hänen mielestään työntekijä A aiheutti tietomurron mahdollistaneen tietoturva-aukon, kun B oli pyytänyt etäyhteyttä ohjelmiston ylläpito- ja kehitystehtävissä toimiessaan. Marraskuussa 2017 palvelimelle avattiin etäyhteys ja samalla laiminlyötiin normaalit tietoturvatoimet.
Tomi Engdahl says:
Yle: Vastaamo haettu konkurssiin https://www.is.fi/digitoday/art-2000007797105.html
Tietomurron kohteeksi joutunut psykoterapiakeskus Vastaamo on haettu konkurssiin
Vastaamon liiketoiminta myydään Vervelle, jossa Vastaamon nykyiset asiakkaat voivat jatkaa terapiaansa.
https://yle.fi/uutiset/3-11784072
Tomi Engdahl says:
Vastaamon palvelimen portti 3306 oli auki nettiin 1, 5 vuotta ja
kiristys alkoi jo 2018 julkisuuskatastrofia viivytettiin viimeiseen
asti
https://www.is.fi/digitoday/tietoturva/art-2000007794906.html
Vastaamon ensimmäisessä kiristysyrityksessä on saattanut olla kyse
“roiskaisusta”, jossa tietomurtaja ei tiennyt, mitä hänellä oli
käsissään. Vastaamon asiakastietokannan varastaminen johtui
palvelimelle auki jätetystä tietoliikenneportista, joka oli auki 1, 5
vuoden ajan.
Tomi Engdahl says:
Lookout Discovers Novel Confucius APT Android Spyware Linked to
India-Pakistan Conflict
https://blog.lookout.com/lookout-discovers-novel-confucius-apt-android-spyware-linked-to-india-pakistan-conflict
The Lookout Threat Intelligence team has discovered two novel Android
surveillanceware Hornbill and SunBird. We believe with high confidence
that these surveillance tools are used by the advanced persistent
threat group (APT) Confucius, which first appeared in 2013 as a
state-sponsored, pro-India actor primarily pursuing Pakistani and
other South Asian targets.
Tomi Engdahl says:
Military, Nuclear Entities Under Target By Novel Android Malware
https://threatpost.com/military-nuclear-entities-under-target-by-novel-android-malware/163830/
The two malware families have sophisticated capabilities to exfiltrate
SMS messages, WhatsApp messaging content and geolocation.
Tomi Engdahl says:
Breached water plant employees used the same TeamViewer password and
no firewall
https://arstechnica.com/information-technology/2021/02/breached-water-plant-employees-used-the-same-teamviewer-password-and-no-firewall/
Shortcomings illustrate the lack of security rigor in critical
infrastructure environments.
Tomi Engdahl says:
Hackers ask only $1, 500 for access to breached company networks
https://www.bleepingcomputer.com/news/security/hackers-ask-only-1-500-for-access-to-breached-company-networks/
The number of offers for network access and their median prices on the
public posts on hacker forums dropped in the final quarter of last
year but the statistics fail to reflect the real size of the initial
access market.
Tomi Engdahl says:
VMware very strongly suggests TPM for all servers in tightened vSphere
security guide
https://www.theregister.com/2021/02/11/new_vsphere_7_security_guidance/
Upgrades to version 7.0 are going to require your full attention,
especially if you’re fond of VGA output
Tomi Engdahl says:
Slackista paljastui ikävä bugi Android-käyttäjiä kehotetaan vaihtamaan
salasanansa
https://www.tivi.fi/uutiset/tv/f3b922cf-481a-4437-9ed6-d9822ff5031b
Slack on lähettänyt sähköpostia niille käyttäjille, joiden salasanat
ovat mahdollisesti vaarantuneet. Viestisovellus Slackiin lipsahti
vuodenvaihteessa bugi, jonka vuoksi joidenkin Android-käyttäjien
salasanat varastoitiin kuukauden ajan (21.1221.1.) sovellukseen
selkokielisinä. Teoriassa olisi siis mahdollista, että muut
laitteeseen asennetut sovellukset olisivat voineet päästä käsiksi
Slack-salasanoihin.
Tomi Engdahl says:
Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti
https://www.is.fi/digitoday/tietoturva/art-2000007794906.html
Vastaamon ensimmäisessä kiristysyrityksessä on saattanut olla kyse ”roiskaisusta”, jossa tietomurtaja ei tiennyt, mitä hänellä oli käsissään.
Tomi Engdahl says:
Vastaamon kauppahinta paljastui – ostajan ja Ville Tapion kertomukset täydessä ristiriidassa
https://www.is.fi/digitoday/art-2000007776547.html
Tänään julkiseksi tulleet oikeuden paperit antavat lisätietoa Vastaamo-vyyhtiin liittyvästä Ville Tapioon kohdistetusta turvaamistoimihakemuksesta.
Tomi Engdahl says:
Pahin tapahtui: 31 980 Vastaamo-asiakastiedostoa leviää hallitsemattomasti netissä – ”Voi tapahtua ikäviä asioita”
Vastaamon asiakastietoja on julkaistu usealla tiedostonjakopalvelimella. Kissa ja hiiri -leikki on alkanut.
https://www.is.fi/digitoday/tietoturva/art-2000007767895.html
28.1. 11:04
Psykoterapiakeskus Vastaamon asiakasrekisteri on lähtenyt leviämään internetissä hallitsemattomasti. Eilen ladattavaksi tullut tiedostopaketti on kopioitu useammalle tiedostonjakopalvelimelle – joista monilta se on jo poistettu.
Uusi paketti on kooltaan 76,61 megatavua ja se on jaossa ”clearnetin” eli ”tavallisen” internetin puolella. Koska paketti on kooltaan pieni, eikä se ole hitaiden Tor-verkon latausyhteyksien takana, sen levittäminen on helppoa. Lisäksi paketti on kooltaan sellainen, että sen välittäminen edelleen sähköpostitse ja pikaviestimillä on helppoa.
IS:n tietojen mukaan paketti sisältää 31 980 potilasrekisteristä luotua tekstitiedostoa. Tiedostojen nimet on luotu asiakkaiden nimistä, ja tiedostot sisältävät henkilö- ja yhteystiedot sekä terapiakuvaukset.
Lähes kaikki tiedostot ovat aitoja potilastietoja. Mukana on muutama kaksoiskappale sekä testitiedosto.
Potilasrekisterin vuotamisesta internetiin alun perin on runsaat kolme kuukautta aikaa. Kun kiristäjä poisti pakettinsa Tor-sivuiltaan, tietoja ei ole juuri pimeässä verkossa näkynyt. Asia muuttui toissa yönä, kun tiedot palasivat.
Latauspaketti on poistettu sitä alun perin jaelleelta Anonfiles-palvelimelta. Lisäksi se on otettu pois Dioshare- ja Zippyshare-palvelimilta, jonne se kopioitiin eilisen aikana. Paketti on kuitenkin yhä tarjolla muualla.
Todennäköisesti edessä on kissa-hiiri-leikki, jossa tiedosto julkaistaan uudelleen uusissa paikoissa sitä mukaa kun sitä poistetaan vanhoista. Internetissä on lukemattomia tiedostonjakopalveluita, osa niistä toimii eettisemmin kuin toiset.
F-Securen tietoturvajohtaja Erka Koivusen mukaan on perusteltua sanoa, että kolme kuukautta sitten nähty uhka eli tietojen villi leviäminen toteutuu nyt viiveellä.
– Nyt se on niin hallitsemattomasti jaossa, että kenelle tahansa, jolla ei harkintakykyä ole, tarjoutuu tilaisuus päästä tämän tiedon äärelle. Voi tapahtua ikäviä asioita, Koivunen sanoo.
Koivusen mukaan enää ei ole kyse kiristämisestä, vaan tietojen levittäminen on normaalia kiusaamista. Tiedot saattavat päätyä parisuhteiden, perheiden ja työpaikkojen sisäisten vääntöjen välikappaleiksi.
– On mielenkiintoinen kysymys, olisiko lunnaat maksaneilla oikeus vaatia rahoja kiristäjältä takaisin kuluttajansuojalain perusteella. Lupausta ei pidetty, Koivunen hymähtää.
Uusien kiristysten mahdollisuuskaan ei ole pois suljettu. Kun pettämispalvelu Ashley Madisonin tiedot varastettiin, moni käyttäjä alkoi saada kiristysviestejä. Koska tiedot olivat kuitenkin laajasti jaossa, maksamisesta ei välttämättä ollut iloa.
Tietojen levittämisen takana on Koivusen mukaan väärinymmärretty hakkerieettinen ajatus siitä, että tiedon tulee olla julkista ja kerran julkistetun tiedon on myös julkisuudessa pysyttävä.
– Moni kokee, että kun tieto on julkisesta lähteestä tullut he voivat ottaa siitä kopioita ja jakaa sitä koska vahinko ei muka voi enää pahemmaksi tulla. Monella saattaa naama venähtää, kun yksinkertaisella copy/paste-operaatiolla saattaa syyllistyä melkoiseen salassapitorikokseen.
– Vahingon pahentaminen tiedostoa jakamalla on kaikkea muuta kuin tiedonjanon tyydyttämistä. Se on kiusantekoa.
Tietojen palaaminen verkkoon saattaa liittyä meneillään olevaan oikeusprosessiin, jossa Vastaamon myynyt Ville Tapio ja ostaja Intera Partners käyvät oikeustaistelua kaupan perumisesta.
– Voi olla, että tämä julkaistaan samaan rysään. Kyseessä voi olla erään sortin trollaaminen [kiusanteko]. Jatkojulkaisijat saattavat olla mukana vain heittämässä bensaa liekkeihin – koska he voivat.
Pimeän verkon keskusteluissa on esitetty väitteitä, että nyt jaeltavassa paketissa olisi haittaohjelma. Jos näin ei ole, niin voi hyvin jatkossa tapahtua.
– Jos jossain on hämäräperäisten tahojen jakelema tiedosto, johon kohdistuu suurta mielenkiintoa, varmasti jollain pilailijalla tai tavoitteellisemmalla toimijalla on kiusaus laittaa mukaan myrkytettyä sisältöä.
– Salassa pidettävään tietoon ei pitäisi muutenkaan mennä koskemaan, mutta siitä voi saada vielä herpeksen kylkiäisenä. Ei kannata.
Tomi Engdahl says:
https://www.facebook.com/637758527/posts/10158139005733528/
“Vastaamon potilastietokanta rakennettiin Linux/MySQL-pohjalle, ja sen toteuttivat yrityksen palveluksessa olleet it-työntekijät NN ja MM vuonna 2015. Heidät siirrettiin tehtävistään syrjään tutkinnan alettua.
Tietokannan internetiin näkyväksi tekevä MySQL-tietokannan käyttämä tietoliikenneportti 3306 jäi avoimeksi marraskuussa 2017 palvelimelle tehtyjen muutostöiden jälkeen. Syynä uskotaan olleen it-työntekijä NN:n tekemät muutokset, joissa palvelimen palomuurin määrittelyjä muutettiin etäkäyttöyhteyden ylläpitoa tai kehitystoimia varten.
Tietoliikenneportti viittaa tietoliikenteessä käytettyyn ”ohjelmalliseen väylään”, ei varsinaiseen fyysiseen porttiin.
Asiakasrekisterin tietoja ei ollut salakirjoitettu, ja lisäksi niiden salasanasuojaus oli ilmeisen heikko. Vastaamoa kiristänyt rikollinen väitti lokakuisissa julkisissa kirjoituksissaan internet- ja darknet-foorumeille sekä käyttäjätunnuksen että salasanan olleen root, eli oletussalasana. Ville Tapio on kiistänyt tiedon. Ilmeistä on, että suojaus on kuitenkin ollut riittämätön.”
Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti https://www.is.fi/digitoday/tietoturva/art-2000007794906.html
Tomi Engdahl says:
Now the company Vastaamo filed for bankruptcy.
The database server used Linux and Mysql. There was no encryption of sensitive data or proper authentication of users. The Mysql access port 3306 was left open for 1.5 years!
It seems that it was used to download the database.
Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti https://www.is.fi/digitoday/tietoturva/art-2000007794906.html
Tomi Engdahl says:
https://www.facebook.com/groups/majordomo/permalink/10161322302324522/
https://m.facebook.com/groups/majordomo/permalink/10161330966179522/
Tomi Engdahl says:
https://m.facebook.com/groups/majordomo/permalink/10161424725079522/
Tomi Engdahl says:
Vastaamon entinen asiakas ihmettelee, miksi 95 henkilöä on avannut hänen lokitietonsa – yrityksen mukaan kyseessä on ”ominaisuus”
Tänään klo 7:03
https://www.iltalehti.fi/kotimaa/a/52ea7c46-bdf5-4689-8fb9-f0be29588457
Vastaamon asiakkaan tietoja on lokimerkintöjen mukaan avattu lukuisia kertoja hänen hoitosuhteensa jälkeen, vaikka lupaa ei ole ollut.
Vastaamon entinen asiakas huomasi lokitiedoista, että hänen potilastietojaan oli käynyt katsomassa 95 ventovierasta henkilöä asiakassuhteen jo päätyttyä.
Psykoterapiakeskuksen mukaan kyse on järjestelmän automaattisesti tekemistä haamumerkinnöistä.
Merkintöjä on samoilta henkilöiltä lukuisia ja osa niistä on syntynyt myöhään illalla, jopa puoliltaöin.
Vastaamon entinen asiakas epäilee psykoterapiakeskuksen henkilökunnan avanneen hänen potilastietojaan luvattomasti.
Mia kertoo olleensa Vastaamon asiakas vuoteen 2017 asti. Vuosien 2018–2020 aikana 95 eri henkilöä on avannut hänen potilastietonsa niiden lokimerkintöjen mukaan.
– Ihan täysin vieraita nimiä. Googlen perusteella psykoterapeutteja, joista osa on edelleen Vastaamolla töissä, Mia kertoo.
Lokitiedot ovat ajalta ennen viime syksyn tietovuotokohua, jolloin Vastaamon potilastietoihin murtauduttiin ja osaa psykoterapiakeskuksen asiakkaista kiristettiin varastetuilla tiedoilla.
Valtava määrä
Iltalehti on nähnyt kyseiset lokitiedot ja toisinaan sama henkilö näyttää avanneen Mian potilastiedot useasti saman päivän aikana, peräkkäisinä päivinä ja myös keskellä yötä.
Lain mukaan potilastietoja saa katsoa perustelluin syin vain henkilö, joka osallistuu potilaan hoitoon tai siihen liittyviin tehtäviin. Tietoja saa luovuttaa sivulliselle vain potilaan kirjallisella suostumuksella.
Mia ihmettelee, mistä tässä voi olla kyse. Tietojen availu on poikkeuksellisen tiuhaa ja tekijöitä on valtava määrä. Lokitiedoista ei näe, kuinka pitkään tiedot avannut henkilö on tietojen parissa viihtynyt.
Vastaamo: ”Haamumerkintä”
Vastaamon mukaan kyse on ”järjestelmän ominaisuudesta”.
– Valitettavasti joidenkin asiakkaiden kohdalla on huomattu, että on järjestelmässä on ominaisuus, joka aikaansaa haamumerkintöjä, Vastaamon viestinnästä kerrotaan sähköpostitse.
Yrityksen mukaan tapahtumalokin merkintä asiakkaan tietojen avauksesta syntyy, kun terapeutti avaa itselleen uuden asiakkaan. Tällöin järjestelmä käsittelee teknisesti myös terapeutin vanhoja asiakkaita ja tekee taustalla teknisen toiminnon, joka aiheuttaa merkinnän.
Yrityksen vastauksesta ei selviä, miten haamumerkintöjä syntyy kymmeniltä terapeuteilta, joista yksikään ei ole asiakasta hoitanut henkilö.
Torstaina 11. helmikuuta ilmeni, että Vastaamon konkurssihakemus on jätetty Helsingin käräjäoikeuteen ja yrityksen liiketoiminta myydään terapiapalveluja tarjoavalle Verve-nimiselle yritykselle. Asiakas- ja potilastiedot eivät siirry liiketoimintakaupassa Vervelle.
Tomi Engdahl says:
After hackers blackmailed their clients, Finnish therapy firm declares
bankruptcy
https://hotforsecurity.bitdefender.com/blog/after-hackers-blackmailed-their-clients-finnish-therapy-firm-declares-bankruptcy-25313.html
Vastaamo, the Finnish psychotherapy practice that covered up a
horrific security breach which resulted in patients receiving
blackmail threats, has declared itself bankrupt.. According to data
collected by security researcher Adrian Sanabria, Vastaamo is one of
less than two dozen companies to have been ruined by a data breach,
and is the largest so far, at 400 employees.
Tomi Engdahl says:
Psykoterapiakeskus Vastaamo on asetettu konkurssiin https://www.is.fi/digitoday/art-2000007803843.html
Tomi Engdahl says:
Oikeuden paperit paljastavat: Näin Vastaamon tietomurto tapahtui – salainen kauppasumma paljastui
https://www.mtvuutiset.fi/artikkeli/oikeuden-paperit-paljastavat-nain-vastaamon-tietomurto-tapahtui-salainen-kauppasumma-paljastui/8055050#gs.tl8m1m
Tomi Engdahl says:
Vastaamon tietomurrosta seuraa jotain hyvääkin: suomalaisille uusi
verkkopalvelu voit jo testata
https://www.tivi.fi/uutiset/tv/fedd3f89-7853-4b68-b851-a9608706a533
Ensimmäisessä vaiheessa Suomi.fi-sivustolle kootaan
identiteettivarkauksia ja tietomurtoa koskevat ohjeistukset ja
palvelut helppokäyttöiseksi kansalaista toimimaan opastavaksi poluksi.
Tämä kokonaisuus valmistuu huhtikuussa 2021 yhteistyössä hankkeessa
mukana olevan verkoston kanssa.. Kevään aikana palveluun tuodaan myös
mahdollisuus hallinnoida osaa Digi- ja väestötietovirastolle
tehtävistä kielloista. Tällaisia ovat väestötietojärjestelmään
tehtävät tietojenluovutuskiellot ja osoitteenmuutoksen tekemistä
koskevat kiellot (ns. muuttoesto).
Tomi Engdahl says:
Näin KRP tutkii Vastaamo-rikoksia tietopyynnöillä jokainen vastaus vie
lähemmäs kiristäjää
https://www.is.fi/digitoday/tietoturva/art-2000007865666.html
ITSE tietomurron ja kiristyksen suhteen auki ovat samat tutkintalinjat
kuin aikaisemminkin, kertoo sanoo KRP:n rikoskomisario Marko Leponen.
Niissä yritetään selvittää tietomurtojen tekijän ja kiristäjän
henkilöllisyyttä ja sitä, onko kyseessä sama taho. – Nyt kammataan
aineistoa tiheällä kammalla, ja se on hidasta. Se johdattaa meitä
kuitenkin koko ajan eteenpäin ja kertoo, mitä meidän pitää tutkia
seuraavaksi. Jokainen löydös kuljettaa askeleen eteenpäin ja tätä
polkua kuljemme sinne, missä oletamme epäillyn tai epäiltyjen olevan.
Emme etsi aineistoa summittain, Leponen sanoo.
Tomi Engdahl says:
Käräjäoikeus määräsi Vastaamon perustajan ja hänen vanhempiensa
omaisuutta takavarikkoon lähes 10 miljoonan euron edestä
https://yle.fi/uutiset/3-11853348
Oikeuden mukaan Vastaamon tietomurto saattaa olla peruste yrityskaupan
perumiselle tai hinnan alentamiselle. Myös:
https://www.is.fi/digitoday/art-2000007879204.html
Tomi Engdahl says:
KRP: ”Olemme tekijän jäljillä” – Vastaamo-tutkinta näyttää hyvältä https://www.is.fi/digitoday/tietoturva/art-2000007932944.html
Tomi Engdahl says:
Psykoterapiakeskus Vastaamon asiakkaat voivat saada potilastietojaan Kelasta
Konkurssiin asetetun Vastaamon potilastiedot on siirretty Kelan arkistoon.
https://yle.fi/uutiset/3-11924531
Tomi Engdahl says:
Valvira – Psykoterapiakeskus Vastaamo laiminlöi velvollisuuksiaan
https://www.tivi.fi/uutiset/tv/da6a8b2f-d171-4cb9-b6cc-cce8e294b523
Valvira katsoo, että Vastaamo laiminlöi yksityisestä terveydenhuollosta annetun lain mukaisia velvollisuuksiaan. Puutteita oli erityisesti terveydenhuollon palveluista vastaavalle johtajalle säädettyjen tehtävien hoitamisessa, kuten työntekijöiden perehdyttämisessä potilasasiakirjojen laatimiseen ja käsittelyyn.
Puutteita oli myös toiminnan omavalvonnassa.
Tomi Engdahl says:
Psykoterapiakeskus Vastaamon liiketoiminta on myyty konkurssiuhan takia.
Tämä on pahin mahdollinen tilanne, jonka tietomurto voi aiheuttaa. Blogissamme Panu kertoo tarkemmin mikä tähän johti ja miten vastaavan tilanteen voisi välttää. Lue lisää: https://bit.ly/2NW0SbO
#tietoturva #vastaamo #tietomurto #konkurssi #etevat #etevablogi
Vastaamo – Tietomurto joka kaatoi koko yrityksen
https://www.etevat.fi/blogi/valta-vastaamon-kohtalo?utm_campaign=Tietoturvakoulutus%20palveluna&utm_content=155109135&utm_medium=social&utm_source=facebook&hss_channel=fbp-252739471413992&fbclid=IwAR1bSBWLeR3dL2ZRjs1Mt0LC8zE40Oc4_uBwtqqC2D91x4aZacYAYIoy8UQ
Psykoterapiakeskus Vastaamon liiketoiminta on myyty konkurssiuhan takia. Tämä on pahin mahdollinen tilanne, jonka tietomurto voi aiheuttaa. Merkittävin tekijä konkurssille on nähtävästi maineen menetys.
Kela sanoi irtisanovansa sopimuksia Vastaamon kanssa ja Pirkanmaan sairaanhoitopiiri kertoi ettei ohjaisi potilaita Vastaamolle. Myös yksityisten potilaiden virta väheni. Tämä on johtanut merkittävään kassavirran laskuun ja maksuvaikeuksiin velkojen suhteen.
Olen käynyt useita uutisartikkeleita läpi ja koitan tiivistää tähän tärkeimmät tapahtumat. Kaikki seuraavat väittämät ja tapahtumat on luettu Ylen uutisista.
Palvelimen ja palomuurin asetukset olivat huonosti määritetty mahdollistaen pääsyn internetistä tietoihin. Käytännöss siis palomuurissa oli porttiohjaus suoraan palvelimelle / tietokantapalvelimelle ja tietokantapalvelimella oli (kaiketi) oletussalasana joka mahdollisti salasanan arvaamisen. Tiedot varastettiin ja tietojen vuotamisen uhalla pyydettiin lunnaita.
Yrityksen tietoturvaa oli laiminlyöty monella eri tasolla jo pitkään.
Tietoturva on asia, joka lähtee yrityksen johdosta. Tätä asiaa ei voi, eikä saa sokkona ulkoistaa tai delegoida. Jos johto ei ole perillä asioista ja mukana tekemässä päätöksiä, voi se vain syyttää itseään. Meilläkin on useita asiakkaita, jotka luulevat että kiinteällä IT-tuen kustannuksella hoidamme maagisesti kaiken tietoturvaan liittyvän. Tietoturva on niin iso kokonaisuus, että sitä ei voi yksinkertaisella palvelunostolla hoitaa.
Ymmärrän, että tietoturva (ja IT yleisesti) on epämiellyttävä ja mystinen aihe-alue suurimmalle osalle ihmiskuntaa. Valitettavasti se on asia, jota kukaan tällä planeetalla ei enää pysty pakoilemaan. Yrityspäättäjät ovat vaativammassa tilanteessa, kun he ovat velvollisia huolehtimaan työntekijöidensä ja asiakkaittensa tietojen suojaamisesta.
Jos et ole varma organisaatiosi tietoturvan tasosta eli kouluarvosanasta, niin aloita Etevän Tietoturvamittarilla.
Tietoturvamittarin läpikäyminen kestää tyypillisesti tunnin ja se voidaan toteuttaa etäpalaverina.
Tomi Engdahl says:
Vastaamo-tietomurron uhrit voivat hakea vahingonkorvauksia oman harkinnan mukaan – ”Haastavaa ja monimutkaista” https://www.is.fi/digitoday/tietoturva/art-2000008070169.html
Tomi Engdahl says:
Vastaamo-tietomurron uhrit voivat hakea vahingonkorvauksia oman harkinnan mukaan – “Uhrin kannalta haastavaa ja monimutkaista”
https://yle.fi/uutiset/3-11990992
Vastaamon konkurssipesästä tulee hakea korvauksia kesäkuun 29. päivään mennessä. Rikosuhripäivystys neuvoo ja tukee tietomurron uhreja.
Tomi Engdahl says:
Vastaamon tietomurron uhrit tehneet 25 000 rikosilmoitusta kiristyksestä poliisi toivoo silti lisää ja aloittaa kuulemiset syksyllä
https://yle.fi/uutiset/3-11995066
Vastaamon tietomurron uhrit ovat tehneet poliisille ennätyksellisen paljon rikosilmoituksia. Poliisin arvion mukaan uhreja on kuitenkin useita tuhansia enemmän. Poliisi toivoo, että rikosilmoituksia tehtäisiin vielä ennen syksyä.
Tomi Engdahl says:
Pimeään verkkoon ilmestyi kaikki Vastaamo-tiedot löytävä hakukone – ”Kyseessä on joku, joka haluaa vahingoittaa” https://www.is.fi/digitoday/tietoturva/art-2000008200963.html
Tomi Engdahl says:
Pimeään verkkoon ilmestyi kaikki Vastaamo-tiedot löytävä hakukone – “Kyseessä on joku, joka haluaa vahingoittaa”
https://www.is.fi/digitoday/tietoturva/art-2000008200963.html
PIMEÄN internetin Tor-verkkoon on ilmestynyt hakukone, joka mahdollistaa hakujen tekemisen koko Vastaamon potilastietokannasta.
Tämä tarkoittaa sitä, että ihmisiä on mahdollista hakea tietokannasta esimerkiksi nimellä, paikkakunnalla tai postinumerolla. Hakukone näyttää haun jälkeen käyttäjälle Vastaamon asiakkaan terapiatiedot.
F-Securen tutkimusjohtaja Mikko Hyppösen mukaan hakukone on ollut verkossa ainakin kaksi kuukautta. Sen tekijä ei ole tiedossa, mutta F-Secure epäilee, ettei kyseessä ole alkuperäinen kiristäjä.
VASTAAMO-TUTKINNAN johtajan, rikosylikomisario Marko Leposen mukaan hakukoneen julkaisija voi syyllistyä yksityiselämää loukkaavan tiedon levittämiseen tai sen törkeään tekomuotoon. myös:
https://yle.fi/uutiset/3-12063432
Tomi Engdahl says:
Psykoterapiakeskus Vastaamon tietomurrosta saatuja tietoja on päätynyt avoimeen verkkoon https://www.hs.fi/kotimaa/art-2000008224411.html
Tiedot olivat jo aiemmin saatavilla niin kutsutun tor-verkon avulla.
Asiasta on uutisoinut muun muassa Ilta-Sanomat ja Yle. Tor-verkon nimi viittaa verkon tekniikkaan salata liikenteen alkuperä kerroksittain.
Tor reitittää käyttäjänsä verkkoliikenteen niin monen yhteyspisteen kautta, että liikenteen alkuperän päätteleminen on erittäin monimutkaista. NYT Vastaamon asiakkaiden tietoja löytyy siis myös niin kutsutun avoimen ja näkyvän verkon puolelta. Kuten tor-verkon puolella, tälläkin verkkosivulla on julkaistu hakukone, joka mahdollistaa laajojen hakujen tekemisen Vastaamon potilastietokannasta. Kyberturvallisuuskeskus havaitsi internetsivuston perjantaina iltapäivällä, kertoo keskuksen ylijohtaja Sauli Pahlman.. Vastaamon potilastietokantaan ohjannut verkkotunnus oli kadonnut verkosta lauantai-iltapäivään mennessä:
https://www.hs.fi/kotimaa/art-2000008225341.html
Tomi Engdahl says:
Poliisi kuulustelee Vastaamon uhrit sähköisellä lomakkeella https://www.is.fi/digitoday/tietoturva/art-2000008278935.html
Tomi Engdahl says:
Poliisi ei saa käyttää asiakastietoja Vastaamo-tutkinnassa https://www.is.fi/digitoday/tietoturva/art-2000008313809.html
Psykoterapiakeskus Vastaamoa koskevan tietomurron suomalaisittain hyvin merkittävää tutkintaa joudutaan jatkamaan ilman asiakastiedot sisältävää aineistoa. Näin päätti korkein oikeus eli KKO keskiviikkona. Päätös liittyy poliisin tutkimaan epäiltyyn tietomurtoon Vastaamon tuotantopalvelimeen, jonka tutkinnan yhteydessä asiakastietokannasta eriteltiin teknisesti siihen sisältyvien henkilöiden nimet ja yhteystiedot. Etsintävaltuutettu vastusti tietojen takavarikoimista ja jäljentämistä, ja Helsingin käräjäoikeus oli samaa mieltä päätöksessään viime vuoden lopulla.
Tomi Engdahl says:
Vastaamon entiset potilaat vaativat jopa 10 000 euron korvauksia tietomurrosta konkurssipesä pitää 2 500:aa euroa ylärajana
https://yle.fi/uutiset/3-12134525
Psykoterapiakeskus Vastaamon konkurssipesä on ensimmäistä kertaa arvioinut asiakkaille maksettavien vahingonkorvauksien enimmäismäärää.
Konkurssipesän mukaan yksityishenkilöt voisivat saada korvauksia enimmillään 2 500 euroa. Arvio selviää tiedotteesta, jonka pesänhoitaja on lähettänyt velkojille. Summa ei kuitenkaan tarkoita sitä, että vahingonkorvauksia vaativat saisivat tuon rahamäärän.
Tomi Engdahl says:
Data ei ole uusi öljy, vaan uusi uraani
https://etn.fi/index.php/13-news/12744-data-ei-ole-uusi-oeljy-vaan-uusi-uraani
Digi- ja väestötietoviraston tänään alkaneella Digiturvaviikolla ruoditaan digiturvallisuutta eri suunnista. Data avaa uusia bisnesmahdollisuuksia, mutta väärissä käsissä se on vaarallinen ase. – Data ei ehkä olekaan uusi öljy, vaan uusi uraani, sanoi F-Securen Mikko Hyppönen.
Jarno Limnellin mukaan case Vastaamo oli digitaalinen suuronnettomuus. – Oltiin hämillään siitä, miten pitäisi toimia, kun uhreja oli kymmeniä tuhansia. Hyvää on se, että tästä on olut pakko oppia. Mutta herättikö Vastaamo siltikään suomalaista yhteiskuntaa tarpeeksi, Limnell kysyi.
- Toivottavasti on opittu, että ollaan enemmän huolestuneita siitä, minkälaisia tietoturvahaasteita on. Toivottavasti tämä johtaa siihen, että olemme entistä valveutuneempia, Paananen komppasi.
Mikko Hyppösen mukaan Vastaamossa oli kansainvälisestikin poikkeuksellista se, että yritys meni konkurssiin. – Tiedossa on vain noin 30 tapausta, joissa yritys on mennyt nurin tietomurron takia.
Tämän takia yritysten johto on pyytänyt it-osastoja selvittämään, missä data on ja miten se on suojattu ja varmuuskopioitu. – Yhteiskunta reagoi melko hitaasti mutta yritykset ovat reagoineet varsin nopeasti, Hyppönen kehuu.
Mikko Hyppönen muistuttaa, että Vastaamo oli rikoksena poikkeuksellisen julma. – Kyse ei ollut vahingosta, vaan uhreja kiristettiin kaikkein synkimmillä salaisuuksilla.
Jarno Limnellin mukaan usein mietitään tietoturvan hallintakeinoja, kun pitäisi miettiä sitä, mitä ollaan suojaamassa. – Mikä on kaikkein tärkeä, kriittinen data? Tämän Vastaamo-case opetti meidät huomaamaan, hän kiittelee.
Dataa on usein kutsuttu uudeksi öljyksi, mutta Mikko Hyppönen haluaa kutsua sitä uudeksi uraaniksi. – Uraani on hyvin arvokasta, mutta myös hyvin vaarallista. Uraani myös säilyy vaarallisena hyvin pitkään. Samoin varastettu data on verkossa vielä sata vuotta sen jälkeen, kun kaikki uhrit ovat jo kuolleet, hän muistuttaa.
Jarno Limnellin mukaan ennen saa unohtaa, että meillä on kymmeniä tuhansia ihmisiä, jotka eivät tiedä, onko heistä varastettu jotain tietoja, tämä voi tulla pidemmällä aikavälillä eteen.
Tomi Engdahl says:
Psykoterapiakeskus Vastaamolle 600 000 euron seuraamusmaksun erittäin vakavista tietoturvallisuuspuutteista
https://yle.fi/uutiset/3-12232962
Tietosuojavaltuutetun toimisto katsoo, ettei henkilötietoja ollut asianmukaisesti suojattu luvattomalta ja lainvastaiselta käsittelyltä.
Vastaamon toiminta ei toimiston mukaan vastannut henkilötietojen käsittelyyn vaadittavaa turvallisuutta. Lisäksi Vastaamon olisi pitänyt kertoa tietomurrosta vahinkoa kärsineille paljon aikaisemmassa vaiheessa.
Tomi Engdahl says:
Vain joka kymmenes Vastaamon uhri antanut lausunnon poliisille https://www.is.fi/digitoday/art-2000008567205.html
POLIISIN alun perin määrittelemä aikaikkuna Vastaamon uhrien kuulemiselle umpeutuu vajaan viikon kuluttua. Tähän mennessä noin 3300 ihmistä on täyttänyt poliisin sähköisen kuulemislomakkeen. Se on noin
10 prosenttia siitä, mitä arvelemme rikoksen uhreja olevan.
Vähänlaisesti on tähän mennessä lausumia saatu, tutkinnanjohtaja, KRP:n rikoskomisario Marko Leponen sanoo.
Tomi Engdahl says:
Psykoterapiakeskus Vastaamon tietomurron uhreista vain yksi kymmenestä antoi sähköisen lausuman takarajaan mennessä, arvioi poliisi
https://yle.fi/uutiset/3-12297543
Myös asiassa rikosilmoitusten tehneiden määrä on jämähtänyt.