Vastaamo breach is horrible

Bombshell data breach ransom incident exploded in Finland. Psychotherapy center Vastaamo patient records were breached and ransom demands for not publishing data was sent to both company and patients. Patient data of 300 were already published on-line.

Vastaamo, which has branches throughout the Nordic country of 5.5 million and operates as a sub-contractor for Finland’s public health system, said its client register with intimate patient information was likely stolen during two attacks that started almost two years ago. The size of register is over 40 000 patients, so almost 1% of country population. Also some public hospital records could have leaked as company was a sub-contractor for handling records for some hospitals.

The privately-run psychotherapy centre Vastamo announced that sensitive information about its clients was leaked after its database was (not so) recently hacked.
The criminals demanded from the psychotherapy center Vastaamo 450,000 euros in exchange for stopping publishing the data. The center said the unknown perpetrator or perpetrators had published at least 300 patient records containing names and contact information using the anonymous Tor communication software.

The National Bureau of Investigations, and other agencies, have launched an investigation into how the data might have become compromised.

Hackers hijack and publish mental health data of hundreds of people
https://www.foreigner.fi/articulo/national/scandal-over-the-hijack-and-and-publication-of-private-mental-health-data/20201023121903008599.html

Finland shocked by therapy center hacking, client blackmail
https://abcnews.go.com/Health/wireStory/finland-shocked-therapy-center-hacking-client-blackmail-73817011

Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html

Hackers hold patient information for ransom in psychotherapy data breach
https://newsnowfinland.fi/crime/hackers-hold-patient-information-for-ransom-in-psychotherapy-data-breach

Hacking may have compromised privacy of thousands of psychotherapy clients in Finland

https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html

Psychotherapy centre’s database hacked, patient info held ransom
The company did not reveal when the hack took place, nor how extensive it was.
https://yle.fi/uutiset/osasto/news/psychotherapy_centres_database_hacked_patient_info_held_ransom/11605460

Vastaamon asiakkaat ovat saaneet henkilökohtaisia kiristysviestejä,
viesteissä vaaditaan 200-500 euron arvosta bitcoineja Poliisi:
“Kiristysviestin vaatimuksiin ei tule suostua”
https://www.hs.fi/kotimaa/art-2000006698803.html

Yksityishenkilöille on lähetetty kiristyssähköposteja älä suostu
vaatimuksiin, tee sähköinen rikosilmoitus, älä soita hätäkeskukseen
https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/yksityishenkiloille_on_lahetetty_kiristyssahkoposteja_ala_suostu_vaatimuksiin_tee_sahkoinen_rikosilmoitus_ala_soita_hatakeskukseen_94177

Mikko Hyppönen arvioi Vastaamon kiristäjän mahdollisuuksia jäädä
kiinni pitää tapausta ainutlaatuisena
https://www.is.fi/digitoday/tietoturva/art-2000006696775.html

Psykoterapiakeskuksen potilastietoja julkaistiin internetissä
syyllistytkö rikokseen, jos katsot niitä? Professori:
“Tulkintakysymys”
https://www.kauppalehti.fi/uutiset/psykoterapiakeskuksen-potilastietoja-julkaistiin-internetissa-syyllistytko-rikokseen-jos-katsot-niita-professori-tulkintakysymys/f2f83cf5-659e-47e3-b401-bb8846ddc250

Uusimmat tiedot Vastaamon tietomurrosta: Vastaamo on ollut myös Kelan
palvelutuottaja, kiristäjän verkkosivu palasi nettiin, HUSin, Tyksin,
Taysin ja Kanta-Hämeen keskussairaalan asiakastietoja voinut vuotaa
https://yle.fi/uutiset/3-11610267

Vastaamo company official announcement of breach
https://vastaamo.fi/ajankohtaista/

F-Secure’s Hyppönen on Vastamo’s hacking: “Most likely, an attacker has used automated tools to look for vulnerable services”

Hyppönen believes that Vastamo was the target of a data breach by accident.

Mikko Hyppönen, Research Director of the security company F-Secure, considers the hacking of the Psychotherapy Center Vastamo to be exceptional.

“Until now, professional criminals have sought to break into financial institutions, above all, or have tried to fish for credit card numbers. This is the first time subject to medical records. In the past, they have not interested criminals, ”says Hyppönen.

He said criminals have decided that sensitive health information may be of interest. Health information is available in a great many systems. It is possible that some systems are vulnerable.

Hyppönen believes that Vastamo was the target of a data breach by accident.

“Most likely, the attacker has used automated tools to look for vulnerable services. For example, a machine can tap thousands of login attempts per minute. Sooner or later, weakly protected services will be found, ”says Hyppönen.

Source:
F-Securen Hyppönen Vastaamon tietomurrosta: ”Todennäköisimmin hyökkääjä on automaattityökaluilla etsinyt haavoittuvia palveluita”
https://www.tivi.fi/uutiset/f-securen-hypponen-vastaamon-tietomurrosta-todennakoisimmin-hyokkaaja-on-automaattityokaluilla-etsinyt-haavoittuvia-palveluita/5e1f0b1f-b981-47f7-a622-a596366b208e

198 Comments

  1. Tomi Engdahl says:

    Pahin tapahtui: 31 980 Vastaamo-asiakastiedostoa leviää hallitsemattomasti netissä – ”Voi tapahtua ikäviä asioita” https://www.is.fi/digitoday/tietoturva/art-2000007767895.html

    Reply
  2. Tomi Engdahl says:

    Vastaamon omistajat asettivat yhtiön selvitystilaan, terapiatoiminta jatkuu toistaiseksi – selvitysmies: Ensimmäinen tehtävä on löytää ostaja ja turvata palvelut
    https://yle.fi/uutiset/3-11762440

    Jos selvityksen tuloksena velkoja on enemmän kuin varoja, edessä voi olla konkurssi.

    Yrityksen johto on käynyt kauppaneuvotteluita jo aikaisemmin, mutta nyt neuvotteluita on Nyyssösen mukaan tarkoitus jatkaa selvitystilamenettelyn kautta.

    Vastaamolle on Nyyssösen mukaan tullut uusia asiakkaita tietovuodosta ja siitä seuranneesta julkisuudesta huolimatta. Hän ei osaa sanoa, kuinka paljon asiakkaita on tapauksen takia menetetty.

    – Potilaita tulee kuitenkin jatkuvasti lisää. Yhtiö palvelee tuhansia asiakkaita tällä hetkellä.

    Työntekijöitäkin on satoja

    Reply
  3. Tomi Engdahl says:

    Vastaamon kauppahinta paljastui – ostajan ja Ville Tapion kertomukset täydessä ristiriidassa https://www.is.fi/digitoday/art-2000007776547.html

    Reply
  4. Tomi Engdahl says:

    Viranomainen poistattaa Vastaamo-tietoja verkosta, mutta eroon niistä ei pääse – ”Todennäköisesti näin siinä käy” https://www.is.fi/digitoday/tietoturva/art-2000007776531.html

    Reply
  5. Tomi Engdahl says:

    Someväitteiden mukaan Vastaamo-uhrien pankkitilejä tyhjennetty -
    todellisuudessa kyse lienee kierosta huijauksesta Nordean ja OP:n
    nimissä
    https://www.is.fi/digitoday/tietoturva/art-2000007776104.html
    Suomessa on meneillään kehittynyt OP:n ja Nordean nimissä tehtävä
    tietojenkalastelu, joka sattuu samaan aikaan Vastaamon asiakastietojen
    aktiivisen leviämisen kanssa. – Vastaamo-tiedoissa ei ole ollut
    sellaisia tietoja, jotka tämän mahdollistaisivat. Siellä ei ole ollut
    esimerkiksi käyttäjätunnus ja salasana -pareja tai luottokorttitietoja
    varmistuskoodeineen, sanoo Liikenne- ja viestintävirasto Traficomin
    Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ville Kontinen.

    Reply
  6. Tomi Engdahl says:

    Viranomainen poistattaa Vastaamo-tietoja verkosta, mutta eroon niistä
    ei pääse “Todennäköisesti näin siinä käy”
    https://www.is.fi/digitoday/tietoturva/art-2000007776531.html
    Vastaamon asiakasrekisteri päätyi verkkoon viime viikolla, ja se on
    tämän jälkeen ilmestynyt useille tiedostonjakopalvelimille
    internetiin. Latauslinkkejä on jaeltu muun muassa Tor-verkon
    keskusteluissa ja mahdollisesti myös pikaviestimillä. Liikenne- ja
    viestintävirasto Traficomin Kyberturvallisuuskeskuksen
    tietoturva-asiantuntija Ville Kontisen mukaan tiedostoista on tehty
    poistopyyntöjä “useita, muttei kymmeniä”. Käytännössä on melkein
    mahdotonta pitää kirjaa siitä, moniko tiedoston on ladannut.

    Reply
  7. Tomi Engdahl says:

    “Kun Vastaamo-tiedosto poistetaan yhdestä paikasta, se ilmestyy
    kahteen uuteen” poliisilta vahva vetoomus netin käyttäjille
    https://www.is.fi/digitoday/tietoturva/art-2000007768820.html
    Vastaamo-tietojen jakaminen ja uudelleenjulkaiseminen on avannut uuden
    haaran keskusrikospoliisin tutkinnassa. Poliisi peräänkuuluttaa verkon
    käyttäjiltä yhteiskuntavastuuta. Poliisi vetoaa kansalaisiin, etteivät
    nämä koskisi Vastaamo-tiedostoon tai jakaisi sitä eteenpäin. Sillä
    saattaa olla rikosoikeudellisia seurauksia, mutta kyse on myös
    vastuullisuudesta. – Poliisi korostaa tässä yhteiskuntavastuuta. Asiaa
    kannattaa miettiä siltä kanalta, että mitä jos olisi itse jaettujen
    tietojen joukossa, Leponen sanoo.

    Reply
  8. Tomi Engdahl says:

    Pahin tapahtui: 31 980 Vastaamo-asiakastiedostoa leviää
    hallitsemattomasti netissä “Voi tapahtua ikäviä asioita”
    https://www.is.fi/digitoday/tietoturva/art-2000007767895.html
    Vastaamon asiakastietoja on julkaistu usealla
    tiedostonjakopalvelimella. Kissa ja hiiri -leikki on alkanut.

    Reply
  9. Tomi Engdahl says:

    Vastaamon asiakastietojen hyödyntämisestä väitteitä poliisi: Ei
    näyttöä laajamittaisesta väärinkäytöstä. Poliisilla on tiedossa
    muutamia yksittäistapauksia.
    https://www.is.fi/digitoday/tietoturva/art-2000007762288.html

    Reply
  10. Tomi Engdahl says:

    MTV: Vastaamon tietokanta vuoti suojaamattomasta MySQL-portista? It-työntekijöillä eri versio oikeudessa kuin ex-pomolla
    https://www.tivi.fi/uutiset/tv/a7da0d07-24b1-411d-961c-b117985afcbd

    Viime vuonna paljastunut Vastaamon tietomurto ja yhtiön myyntiprosessi on edennyt käräjäoikeuden käsittelyyn.

    MTV uutisoi käräjäoikeuden asiakirjojen perusteella, että yhtiön nykyiset omistajat riitelevät yrityksen perustaneiden Tapioiden perheen kanssa oikeuden turvaamistoimihakemuksesta eli takavarikosta. Tapioilta otettiin viime syksyllä takavarikkoon kauppasumman verran rahaa eli lähes 10 miljoonaa euroa.

    Kiistaa on siitä, tiesikö myyjä ennen yrityskauppaan tietovuodosta ja onko se peruste kaupan purkamiselle.

    Tapio palkkasi tietoturvayhtiö Nixun tutkimaan Vastaamon tietomurtoa, kun Vastaamolle lähetettiin kiristysviesti loppuvuodesta 2020 ja pian sen jälkeen myös yhtiön asiakkaille.

    Nixun selvityksen mukaan Vastaamon tietokannassa oli puutteellinen lokimerkintä, joka paljasti epäilyttävän kirjautumisen jo 20.12.2018.

    Suurempaa huomiota keräsi 15.3.2019 tapahtunut häiriö, Silloin ulkopuolinen taho on tunkeutunut tietokantaan, tuhonnut sen ja jättänyt tilalle kiristysviestin. Nixun mukaan on todennäköistä, että A tai B huomasi viestin, joka on luettu 15.3. kaksikon yhteisellä pääkäyttäjätunnuksella. Myöhemmin maaliskuussa palvelimen tietoturvaa on parannettu tietoturvaohjelmistoilla ja palomuuriasetuksilla.

    Vastaamo ilmoitti Valviralle 24.3.2019 alustavalla vaaratilanneilmoituksella, että järjestelmä pantiin huoltokatkolle tietojen katoamisen vuoksi, mutta että viitteitä asiakastietojen vuotamisesta ei ollut. Ville Tapio totesi 30.4.2019 haastattelupöytäkirjan mukaan, että aktualisoituneita loukkauksia ovat “vain datahuoneeseen ilmoitetut asiat”.

    Ville Tapio ei halunnut potilastietoihin vedoten laajempaa tietoturvatarkastusta. Rajatussa itdd-tarkastuksessa tietomurto tai tietoturvan heikko tola eivät paljastuneet.

    Nixun selvityksessä arvioidaan, että todennäköisin syy tietokantavuodolle on ollut suojaamaton MySQL-portti, jonka kautta tietokanta olisi ladattu.

    Ville Tapio huomauttaa tilanneensa Nixun selvityksen tietomurron paljastuttua hänelle loppuvuodesta 2020. Hänen mielestään työntekijä A aiheutti tietomurron mahdollistaneen tietoturva-aukon, kun B oli pyytänyt etäyhteyttä ohjelmiston ylläpito- ja kehitystehtävissä toimiessaan. Marraskuussa 2017 palvelimelle avattiin etäyhteys ja samalla laiminlyötiin normaalit tietoturvatoimet.

    Reply
  11. Tomi Engdahl says:

    Yle: Vastaamo haettu konkurssiin https://www.is.fi/digitoday/art-2000007797105.html

    Tietomurron kohteeksi joutunut psykoterapiakeskus Vastaamo on haettu konkurssiin
    Vastaamon liiketoiminta myydään Vervelle, jossa Vastaamon nykyiset asiakkaat voivat jatkaa terapiaansa.
    https://yle.fi/uutiset/3-11784072

    Reply
  12. Tomi Engdahl says:

    Vastaamon palvelimen portti 3306 oli auki nettiin 1, 5 vuotta ja
    kiristys alkoi jo 2018 julkisuuskatastrofia viivytettiin viimeiseen
    asti
    https://www.is.fi/digitoday/tietoturva/art-2000007794906.html
    Vastaamon ensimmäisessä kiristysyrityksessä on saattanut olla kyse
    “roiskaisusta”, jossa tietomurtaja ei tiennyt, mitä hänellä oli
    käsissään. Vastaamon asiakastietokannan varastaminen johtui
    palvelimelle auki jätetystä tietoliikenneportista, joka oli auki 1, 5
    vuoden ajan.

    Reply
  13. Tomi Engdahl says:

    Lookout Discovers Novel Confucius APT Android Spyware Linked to
    India-Pakistan Conflict
    https://blog.lookout.com/lookout-discovers-novel-confucius-apt-android-spyware-linked-to-india-pakistan-conflict
    The Lookout Threat Intelligence team has discovered two novel Android
    surveillanceware Hornbill and SunBird. We believe with high confidence
    that these surveillance tools are used by the advanced persistent
    threat group (APT) Confucius, which first appeared in 2013 as a
    state-sponsored, pro-India actor primarily pursuing Pakistani and
    other South Asian targets.

    Reply
  14. Tomi Engdahl says:

    Military, Nuclear Entities Under Target By Novel Android Malware
    https://threatpost.com/military-nuclear-entities-under-target-by-novel-android-malware/163830/
    The two malware families have sophisticated capabilities to exfiltrate
    SMS messages, WhatsApp messaging content and geolocation.

    Reply
  15. Tomi Engdahl says:

    Breached water plant employees used the same TeamViewer password and
    no firewall
    https://arstechnica.com/information-technology/2021/02/breached-water-plant-employees-used-the-same-teamviewer-password-and-no-firewall/
    Shortcomings illustrate the lack of security rigor in critical
    infrastructure environments.

    Reply
  16. Tomi Engdahl says:

    Hackers ask only $1, 500 for access to breached company networks
    https://www.bleepingcomputer.com/news/security/hackers-ask-only-1-500-for-access-to-breached-company-networks/
    The number of offers for network access and their median prices on the
    public posts on hacker forums dropped in the final quarter of last
    year but the statistics fail to reflect the real size of the initial
    access market.

    Reply
  17. Tomi Engdahl says:

    VMware very strongly suggests TPM for all servers in tightened vSphere
    security guide
    https://www.theregister.com/2021/02/11/new_vsphere_7_security_guidance/
    Upgrades to version 7.0 are going to require your full attention,
    especially if you’re fond of VGA output

    Reply
  18. Tomi Engdahl says:

    Slackista paljastui ikävä bugi Android-käyttäjiä kehotetaan vaihtamaan
    salasanansa
    https://www.tivi.fi/uutiset/tv/f3b922cf-481a-4437-9ed6-d9822ff5031b
    Slack on lähettänyt sähköpostia niille käyttäjille, joiden salasanat
    ovat mahdollisesti vaarantuneet. Viestisovellus Slackiin lipsahti
    vuodenvaihteessa bugi, jonka vuoksi joidenkin Android-käyttäjien
    salasanat varastoitiin kuukauden ajan (21.1221.1.) sovellukseen
    selkokielisinä. Teoriassa olisi siis mahdollista, että muut
    laitteeseen asennetut sovellukset olisivat voineet päästä käsiksi
    Slack-salasanoihin.

    Reply
  19. Tomi Engdahl says:

    Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti
    https://www.is.fi/digitoday/tietoturva/art-2000007794906.html

    Vastaamon ensimmäisessä kiristysyrityksessä on saattanut olla kyse ”roiskaisusta”, jossa tietomurtaja ei tiennyt, mitä hänellä oli käsissään.

    Reply
  20. Tomi Engdahl says:

    Vastaamon kauppahinta paljastui – ostajan ja Ville Tapion kertomukset täydessä ristiriidassa
    https://www.is.fi/digitoday/art-2000007776547.html

    Tänään julkiseksi tulleet oikeuden paperit antavat lisätietoa Vastaamo-vyyhtiin liittyvästä Ville Tapioon kohdistetusta turvaamistoimihakemuksesta.

    Reply
  21. Tomi Engdahl says:

    Pahin tapahtui: 31 980 Vastaamo-asiakastiedostoa leviää hallitsemattomasti netissä – ”Voi tapahtua ikäviä asioita”
    Vastaamon asiakastietoja on julkaistu usealla tiedostonjakopalvelimella. Kissa ja hiiri -leikki on alkanut.
    https://www.is.fi/digitoday/tietoturva/art-2000007767895.html

    28.1. 11:04

    Psykoterapiakeskus Vastaamon asiakasrekisteri on lähtenyt leviämään internetissä hallitsemattomasti. Eilen ladattavaksi tullut tiedostopaketti on kopioitu useammalle tiedostonjakopalvelimelle – joista monilta se on jo poistettu.

    Uusi paketti on kooltaan 76,61 megatavua ja se on jaossa ”clearnetin” eli ”tavallisen” internetin puolella. Koska paketti on kooltaan pieni, eikä se ole hitaiden Tor-verkon latausyhteyksien takana, sen levittäminen on helppoa. Lisäksi paketti on kooltaan sellainen, että sen välittäminen edelleen sähköpostitse ja pikaviestimillä on helppoa.

    IS:n tietojen mukaan paketti sisältää 31 980 potilasrekisteristä luotua tekstitiedostoa. Tiedostojen nimet on luotu asiakkaiden nimistä, ja tiedostot sisältävät henkilö- ja yhteystiedot sekä terapiakuvaukset.

    Lähes kaikki tiedostot ovat aitoja potilastietoja. Mukana on muutama kaksoiskappale sekä testitiedosto.

    Potilasrekisterin vuotamisesta internetiin alun perin on runsaat kolme kuukautta aikaa. Kun kiristäjä poisti pakettinsa Tor-sivuiltaan, tietoja ei ole juuri pimeässä verkossa näkynyt. Asia muuttui toissa yönä, kun tiedot palasivat.

    Latauspaketti on poistettu sitä alun perin jaelleelta Anonfiles-palvelimelta. Lisäksi se on otettu pois Dioshare- ja Zippyshare-palvelimilta, jonne se kopioitiin eilisen aikana. Paketti on kuitenkin yhä tarjolla muualla.

    Todennäköisesti edessä on kissa-hiiri-leikki, jossa tiedosto julkaistaan uudelleen uusissa paikoissa sitä mukaa kun sitä poistetaan vanhoista. Internetissä on lukemattomia tiedostonjakopalveluita, osa niistä toimii eettisemmin kuin toiset.

    F-Securen tietoturvajohtaja Erka Koivusen mukaan on perusteltua sanoa, että kolme kuukautta sitten nähty uhka eli tietojen villi leviäminen toteutuu nyt viiveellä.

    – Nyt se on niin hallitsemattomasti jaossa, että kenelle tahansa, jolla ei harkintakykyä ole, tarjoutuu tilaisuus päästä tämän tiedon äärelle. Voi tapahtua ikäviä asioita, Koivunen sanoo.

    Koivusen mukaan enää ei ole kyse kiristämisestä, vaan tietojen levittäminen on normaalia kiusaamista. Tiedot saattavat päätyä parisuhteiden, perheiden ja työpaikkojen sisäisten vääntöjen välikappaleiksi.

    – On mielenkiintoinen kysymys, olisiko lunnaat maksaneilla oikeus vaatia rahoja kiristäjältä takaisin kuluttajansuojalain perusteella. Lupausta ei pidetty, Koivunen hymähtää.

    Uusien kiristysten mahdollisuuskaan ei ole pois suljettu. Kun pettämispalvelu Ashley Madisonin tiedot varastettiin, moni käyttäjä alkoi saada kiristysviestejä. Koska tiedot olivat kuitenkin laajasti jaossa, maksamisesta ei välttämättä ollut iloa.

    Tietojen levittämisen takana on Koivusen mukaan väärinymmärretty hakkerieettinen ajatus siitä, että tiedon tulee olla julkista ja kerran julkistetun tiedon on myös julkisuudessa pysyttävä.

    – Moni kokee, että kun tieto on julkisesta lähteestä tullut he voivat ottaa siitä kopioita ja jakaa sitä koska vahinko ei muka voi enää pahemmaksi tulla. Monella saattaa naama venähtää, kun yksinkertaisella copy/paste-operaatiolla saattaa syyllistyä melkoiseen salassapitorikokseen.

    – Vahingon pahentaminen tiedostoa jakamalla on kaikkea muuta kuin tiedonjanon tyydyttämistä. Se on kiusantekoa.

    Tietojen palaaminen verkkoon saattaa liittyä meneillään olevaan oikeusprosessiin, jossa Vastaamon myynyt Ville Tapio ja ostaja Intera Partners käyvät oikeustaistelua kaupan perumisesta.

    – Voi olla, että tämä julkaistaan samaan rysään. Kyseessä voi olla erään sortin trollaaminen [kiusanteko]. Jatkojulkaisijat saattavat olla mukana vain heittämässä bensaa liekkeihin – koska he voivat.

    Pimeän verkon keskusteluissa on esitetty väitteitä, että nyt jaeltavassa paketissa olisi haittaohjelma. Jos näin ei ole, niin voi hyvin jatkossa tapahtua.

    – Jos jossain on hämäräperäisten tahojen jakelema tiedosto, johon kohdistuu suurta mielenkiintoa, varmasti jollain pilailijalla tai tavoitteellisemmalla toimijalla on kiusaus laittaa mukaan myrkytettyä sisältöä.

    – Salassa pidettävään tietoon ei pitäisi muutenkaan mennä koskemaan, mutta siitä voi saada vielä herpeksen kylkiäisenä. Ei kannata.

    Reply
  22. Tomi Engdahl says:

    https://www.facebook.com/637758527/posts/10158139005733528/

    “Vastaamon potilastietokanta rakennettiin Linux/MySQL-pohjalle, ja sen toteuttivat yrityksen palveluksessa olleet it-työntekijät NN ja MM vuonna 2015. Heidät siirrettiin tehtävistään syrjään tutkinnan alettua.

    Tietokannan internetiin näkyväksi tekevä MySQL-tietokannan käyttämä tietoliikenneportti 3306 jäi avoimeksi marraskuussa 2017 palvelimelle tehtyjen muutostöiden jälkeen. Syynä uskotaan olleen it-työntekijä NN:n tekemät muutokset, joissa palvelimen palomuurin määrittelyjä muutettiin etäkäyttöyhteyden ylläpitoa tai kehitystoimia varten.

    Tietoliikenneportti viittaa tietoliikenteessä käytettyyn ”ohjelmalliseen väylään”, ei varsinaiseen fyysiseen porttiin.

    Asiakasrekisterin tietoja ei ollut salakirjoitettu, ja lisäksi niiden salasanasuojaus oli ilmeisen heikko. Vastaamoa kiristänyt rikollinen väitti lokakuisissa julkisissa kirjoituksissaan internet- ja darknet-foorumeille sekä käyttäjätunnuksen että salasanan olleen root, eli oletussalasana. Ville Tapio on kiistänyt tiedon. Ilmeistä on, että suojaus on kuitenkin ollut riittämätön.”

    Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti https://www.is.fi/digitoday/tietoturva/art-2000007794906.html

    Reply
  23. Tomi Engdahl says:

    Now the company Vastaamo filed for bankruptcy.

    The database server used Linux and Mysql. There was no encryption of sensitive data or proper authentication of users. The Mysql access port 3306 was left open for 1.5 years!
    It seems that it was used to download the database.

    Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti https://www.is.fi/digitoday/tietoturva/art-2000007794906.html

    Reply
  24. Tomi Engdahl says:

    Vastaamon entinen asiakas ihmettelee, miksi 95 henkilöä on avannut hänen lokitietonsa – yrityksen mukaan kyseessä on ”ominaisuus”
    Tänään klo 7:03
    https://www.iltalehti.fi/kotimaa/a/52ea7c46-bdf5-4689-8fb9-f0be29588457

    Vastaamon asiakkaan tietoja on lokimerkintöjen mukaan avattu lukuisia kertoja hänen hoitosuhteensa jälkeen, vaikka lupaa ei ole ollut.

    Vastaamon entinen asiakas huomasi lokitiedoista, että hänen potilastietojaan oli käynyt katsomassa 95 ventovierasta henkilöä asiakassuhteen jo päätyttyä.
    Psykoterapiakeskuksen mukaan kyse on järjestelmän automaattisesti tekemistä haamumerkinnöistä.
    Merkintöjä on samoilta henkilöiltä lukuisia ja osa niistä on syntynyt myöhään illalla, jopa puoliltaöin.

    Vastaamon entinen asiakas epäilee psykoterapiakeskuksen henkilökunnan avanneen hänen potilastietojaan luvattomasti.

    Mia kertoo olleensa Vastaamon asiakas vuoteen 2017 asti. Vuosien 2018–2020 aikana 95 eri henkilöä on avannut hänen potilastietonsa niiden lokimerkintöjen mukaan.

    – Ihan täysin vieraita nimiä. Googlen perusteella psykoterapeutteja, joista osa on edelleen Vastaamolla töissä, Mia kertoo.

    Lokitiedot ovat ajalta ennen viime syksyn tietovuotokohua, jolloin Vastaamon potilastietoihin murtauduttiin ja osaa psykoterapiakeskuksen asiakkaista kiristettiin varastetuilla tiedoilla.

    Valtava määrä

    Iltalehti on nähnyt kyseiset lokitiedot ja toisinaan sama henkilö näyttää avanneen Mian potilastiedot useasti saman päivän aikana, peräkkäisinä päivinä ja myös keskellä yötä.

    Lain mukaan potilastietoja saa katsoa perustelluin syin vain henkilö, joka osallistuu potilaan hoitoon tai siihen liittyviin tehtäviin. Tietoja saa luovuttaa sivulliselle vain potilaan kirjallisella suostumuksella.

    Mia ihmettelee, mistä tässä voi olla kyse. Tietojen availu on poikkeuksellisen tiuhaa ja tekijöitä on valtava määrä. Lokitiedoista ei näe, kuinka pitkään tiedot avannut henkilö on tietojen parissa viihtynyt.

    Vastaamo: ”Haamumerkintä”

    Vastaamon mukaan kyse on ”järjestelmän ominaisuudesta”.

    – Valitettavasti joidenkin asiakkaiden kohdalla on huomattu, että on järjestelmässä on ominaisuus, joka aikaansaa haamumerkintöjä, Vastaamon viestinnästä kerrotaan sähköpostitse.

    Yrityksen mukaan tapahtumalokin merkintä asiakkaan tietojen avauksesta syntyy, kun terapeutti avaa itselleen uuden asiakkaan. Tällöin järjestelmä käsittelee teknisesti myös terapeutin vanhoja asiakkaita ja tekee taustalla teknisen toiminnon, joka aiheuttaa merkinnän.

    Yrityksen vastauksesta ei selviä, miten haamumerkintöjä syntyy kymmeniltä terapeuteilta, joista yksikään ei ole asiakasta hoitanut henkilö.

    Torstaina 11. helmikuuta ilmeni, että Vastaamon konkurssihakemus on jätetty Helsingin käräjäoikeuteen ja yrityksen liiketoiminta myydään terapiapalveluja tarjoavalle Verve-nimiselle yritykselle. Asiakas- ja potilastiedot eivät siirry liiketoimintakaupassa Vervelle.

    Reply
  25. Tomi Engdahl says:

    After hackers blackmailed their clients, Finnish therapy firm declares
    bankruptcy
    https://hotforsecurity.bitdefender.com/blog/after-hackers-blackmailed-their-clients-finnish-therapy-firm-declares-bankruptcy-25313.html
    Vastaamo, the Finnish psychotherapy practice that covered up a
    horrific security breach which resulted in patients receiving
    blackmail threats, has declared itself bankrupt.. According to data
    collected by security researcher Adrian Sanabria, Vastaamo is one of
    less than two dozen companies to have been ruined by a data breach,
    and is the largest so far, at 400 employees.

    Reply
  26. Tomi Engdahl says:

    Vastaamon tietomurrosta seuraa jotain hyvääkin: suomalaisille uusi
    verkkopalvelu voit jo testata
    https://www.tivi.fi/uutiset/tv/fedd3f89-7853-4b68-b851-a9608706a533
    Ensimmäisessä vaiheessa Suomi.fi-sivustolle kootaan
    identiteettivarkauksia ja tietomurtoa koskevat ohjeistukset ja
    palvelut helppokäyttöiseksi kansalaista toimimaan opastavaksi poluksi.
    Tämä kokonaisuus valmistuu huhtikuussa 2021 yhteistyössä hankkeessa
    mukana olevan verkoston kanssa.. Kevään aikana palveluun tuodaan myös
    mahdollisuus hallinnoida osaa Digi- ja väestötietovirastolle
    tehtävistä kielloista. Tällaisia ovat väestötietojärjestelmään
    tehtävät tietojenluovutuskiellot ja osoitteenmuutoksen tekemistä
    koskevat kiellot (ns. muuttoesto).

    Reply
  27. Tomi Engdahl says:

    Näin KRP tutkii Vastaamo-rikoksia tietopyynnöillä jokainen vastaus vie
    lähemmäs kiristäjää
    https://www.is.fi/digitoday/tietoturva/art-2000007865666.html
    ITSE tietomurron ja kiristyksen suhteen auki ovat samat tutkintalinjat
    kuin aikaisemminkin, kertoo sanoo KRP:n rikoskomisario Marko Leponen.
    Niissä yritetään selvittää tietomurtojen tekijän ja kiristäjän
    henkilöllisyyttä ja sitä, onko kyseessä sama taho. – Nyt kammataan
    aineistoa tiheällä kammalla, ja se on hidasta. Se johdattaa meitä
    kuitenkin koko ajan eteenpäin ja kertoo, mitä meidän pitää tutkia
    seuraavaksi. Jokainen löydös kuljettaa askeleen eteenpäin ja tätä
    polkua kuljemme sinne, missä oletamme epäillyn tai epäiltyjen olevan.
    Emme etsi aineistoa summittain, Leponen sanoo.

    Reply
  28. Tomi Engdahl says:

    Käräjäoikeus määräsi Vastaamon perustajan ja hänen vanhempiensa
    omaisuutta takavarikkoon lähes 10 miljoonan euron edestä
    https://yle.fi/uutiset/3-11853348
    Oikeuden mukaan Vastaamon tietomurto saattaa olla peruste yrityskaupan
    perumiselle tai hinnan alentamiselle. Myös:
    https://www.is.fi/digitoday/art-2000007879204.html

    Reply
  29. Tomi Engdahl says:

    KRP: ”Olemme tekijän jäljillä” – Vastaamo-tutkinta näyttää hyvältä https://www.is.fi/digitoday/tietoturva/art-2000007932944.html

    Reply
  30. Tomi Engdahl says:

    Psykoterapiakeskus Vastaamon asiakkaat voivat saada potilastietojaan Kelasta
    Konkurssiin asetetun Vastaamon potilastiedot on siirretty Kelan arkistoon.
    https://yle.fi/uutiset/3-11924531

    Reply
  31. Tomi Engdahl says:

    Valvira – Psykoterapiakeskus Vastaamo laiminlöi velvollisuuksiaan
    https://www.tivi.fi/uutiset/tv/da6a8b2f-d171-4cb9-b6cc-cce8e294b523
    Valvira katsoo, että Vastaamo laiminlöi yksityisestä terveydenhuollosta annetun lain mukaisia velvollisuuksiaan. Puutteita oli erityisesti terveydenhuollon palveluista vastaavalle johtajalle säädettyjen tehtävien hoitamisessa, kuten työntekijöiden perehdyttämisessä potilasasiakirjojen laatimiseen ja käsittelyyn.
    Puutteita oli myös toiminnan omavalvonnassa.

    Reply
  32. Tomi Engdahl says:

    Psykoterapiakeskus Vastaamon liiketoiminta on myyty konkurssiuhan takia.
    Tämä on pahin mahdollinen tilanne, jonka tietomurto voi aiheuttaa. Blogissamme Panu kertoo tarkemmin mikä tähän johti ja miten vastaavan tilanteen voisi välttää. Lue lisää: https://bit.ly/2NW0SbO
    #tietoturva #vastaamo #tietomurto #konkurssi #etevat #etevablogi

    Vastaamo – Tietomurto joka kaatoi koko yrityksen
    https://www.etevat.fi/blogi/valta-vastaamon-kohtalo?utm_campaign=Tietoturvakoulutus%20palveluna&utm_content=155109135&utm_medium=social&utm_source=facebook&hss_channel=fbp-252739471413992&fbclid=IwAR1bSBWLeR3dL2ZRjs1Mt0LC8zE40Oc4_uBwtqqC2D91x4aZacYAYIoy8UQ

    Psykoterapiakeskus Vastaamon liiketoiminta on myyty konkurssiuhan takia. Tämä on pahin mahdollinen tilanne, jonka tietomurto voi aiheuttaa. Merkittävin tekijä konkurssille on nähtävästi maineen menetys.

    Kela sanoi irtisanovansa sopimuksia Vastaamon kanssa ja Pirkanmaan sairaanhoitopiiri kertoi ettei ohjaisi potilaita Vastaamolle. Myös yksityisten potilaiden virta väheni. Tämä on johtanut merkittävään kassavirran laskuun ja maksuvaikeuksiin velkojen suhteen.

    Olen käynyt useita uutisartikkeleita läpi ja koitan tiivistää tähän tärkeimmät tapahtumat. Kaikki seuraavat väittämät ja tapahtumat on luettu Ylen uutisista.

    Palvelimen ja palomuurin asetukset olivat huonosti määritetty mahdollistaen pääsyn internetistä tietoihin. Käytännöss siis palomuurissa oli porttiohjaus suoraan palvelimelle / tietokantapalvelimelle ja tietokantapalvelimella oli (kaiketi) oletussalasana joka mahdollisti salasanan arvaamisen. Tiedot varastettiin ja tietojen vuotamisen uhalla pyydettiin lunnaita.

    Yrityksen tietoturvaa oli laiminlyöty monella eri tasolla jo pitkään.

    Tietoturva on asia, joka lähtee yrityksen johdosta. Tätä asiaa ei voi, eikä saa sokkona ulkoistaa tai delegoida. Jos johto ei ole perillä asioista ja mukana tekemässä päätöksiä, voi se vain syyttää itseään. Meilläkin on useita asiakkaita, jotka luulevat että kiinteällä IT-tuen kustannuksella hoidamme maagisesti kaiken tietoturvaan liittyvän. Tietoturva on niin iso kokonaisuus, että sitä ei voi yksinkertaisella palvelunostolla hoitaa.

    Ymmärrän, että tietoturva (ja IT yleisesti) on epämiellyttävä ja mystinen aihe-alue suurimmalle osalle ihmiskuntaa. Valitettavasti se on asia, jota kukaan tällä planeetalla ei enää pysty pakoilemaan. Yrityspäättäjät ovat vaativammassa tilanteessa, kun he ovat velvollisia huolehtimaan työntekijöidensä ja asiakkaittensa tietojen suojaamisesta.

    Jos et ole varma organisaatiosi tietoturvan tasosta eli kouluarvosanasta, niin aloita Etevän Tietoturvamittarilla.

    Tietoturvamittarin läpikäyminen kestää tyypillisesti tunnin ja se voidaan toteuttaa etäpalaverina.

    Reply
  33. Tomi Engdahl says:

    Vastaamo-tietomurron uhrit voivat hakea vahingonkorvauksia oman harkinnan mukaan – ”Haastavaa ja monimutkaista” https://www.is.fi/digitoday/tietoturva/art-2000008070169.html

    Reply
  34. Tomi Engdahl says:

    Vastaamo-tietomurron uhrit voivat hakea vahingonkorvauksia oman harkinnan mukaan – “Uhrin kannalta haastavaa ja monimutkaista”
    https://yle.fi/uutiset/3-11990992
    Vastaamon konkurssipesästä tulee hakea korvauksia kesäkuun 29. päivään mennessä. Rikosuhripäivystys neuvoo ja tukee tietomurron uhreja.

    Reply
  35. Tomi Engdahl says:

    Vastaamon tietomurron uhrit tehneet 25 000 rikosilmoitusta kiristyksestä poliisi toivoo silti lisää ja aloittaa kuulemiset syksyllä
    https://yle.fi/uutiset/3-11995066
    Vastaamon tietomurron uhrit ovat tehneet poliisille ennätyksellisen paljon rikosilmoituksia. Poliisin arvion mukaan uhreja on kuitenkin useita tuhansia enemmän. Poliisi toivoo, että rikosilmoituksia tehtäisiin vielä ennen syksyä.

    Reply
  36. Tomi Engdahl says:

    Pimeään verkkoon ilmestyi kaikki Vastaamo-tiedot löytävä haku­kone – ”Kyseessä on joku, joka haluaa vahingoittaa” https://www.is.fi/digitoday/tietoturva/art-2000008200963.html

    Reply
  37. Tomi Engdahl says:

    Pimeään verkkoon ilmestyi kaikki Vastaamo-tiedot löytävä hakukone – “Kyseessä on joku, joka haluaa vahingoittaa”
    https://www.is.fi/digitoday/tietoturva/art-2000008200963.html
    PIMEÄN internetin Tor-verkkoon on ilmestynyt hakukone, joka mahdollistaa hakujen tekemisen koko Vastaamon potilastietokannasta.
    Tämä tarkoittaa sitä, että ihmisiä on mahdollista hakea tietokannasta esimerkiksi nimellä, paikkakunnalla tai postinumerolla. Hakukone näyttää haun jälkeen käyttäjälle Vastaamon asiakkaan terapiatiedot.
    F-Securen tutkimusjohtaja Mikko Hyppösen mukaan hakukone on ollut verkossa ainakin kaksi kuukautta. Sen tekijä ei ole tiedossa, mutta F-Secure epäilee, ettei kyseessä ole alkuperäinen kiristäjä.
    VASTAAMO-TUTKINNAN johtajan, rikosylikomisario Marko Leposen mukaan hakukoneen julkaisija voi syyllistyä yksityiselämää loukkaavan tiedon levittämiseen tai sen törkeään tekomuotoon. myös:
    https://yle.fi/uutiset/3-12063432

    Reply
  38. Tomi Engdahl says:

    Psykoterapiakeskus Vastaamon tietomurrosta saatuja tietoja on päätynyt avoimeen verkkoon https://www.hs.fi/kotimaa/art-2000008224411.html
    Tiedot olivat jo aiemmin saatavilla niin kutsutun tor-verkon avulla.
    Asiasta on uutisoinut muun muassa Ilta-Sanomat ja Yle. Tor-verkon nimi viittaa verkon tekniikkaan salata liikenteen alkuperä kerroksittain.
    Tor reitittää käyttäjänsä verkkoliikenteen niin monen yhteyspisteen kautta, että liikenteen alkuperän päätteleminen on erittäin monimutkaista. NYT Vastaamon asiakkaiden tietoja löytyy siis myös niin kutsutun avoimen ja näkyvän verkon puolelta. Kuten tor-verkon puolella, tälläkin verkkosivulla on julkaistu hakukone, joka mahdollistaa laajojen hakujen tekemisen Vastaamon potilastietokannasta. Kyberturvallisuuskeskus havaitsi internetsivuston perjantaina iltapäivällä, kertoo keskuksen ylijohtaja Sauli Pahlman.. Vastaamon potilastietokantaan ohjannut verkkotunnus oli kadonnut verkosta lauantai-iltapäivään mennessä:
    https://www.hs.fi/kotimaa/art-2000008225341.html

    Reply
  39. Tomi Engdahl says:

    Poliisi kuulustelee Vastaamon uhrit sähköisellä lomakkeella https://www.is.fi/digitoday/tietoturva/art-2000008278935.html

    Reply
  40. Tomi Engdahl says:

    Poliisi ei saa käyttää asiakastietoja Vastaamo-tutkinnassa https://www.is.fi/digitoday/tietoturva/art-2000008313809.html
    Psykoterapiakeskus Vastaamoa koskevan tietomurron suomalaisittain hyvin merkittävää tutkintaa joudutaan jatkamaan ilman asiakastiedot sisältävää aineistoa. Näin päätti korkein oikeus eli KKO keskiviikkona. Päätös liittyy poliisin tutkimaan epäiltyyn tietomurtoon Vastaamon tuotantopalvelimeen, jonka tutkinnan yhteydessä asiakastietokannasta eriteltiin teknisesti siihen sisältyvien henkilöiden nimet ja yhteystiedot. Etsintävaltuutettu vastusti tietojen takavarikoimista ja jäljentämistä, ja Helsingin käräjäoikeus oli samaa mieltä päätöksessään viime vuoden lopulla.

    Reply
  41. Tomi Engdahl says:

    Vastaamon entiset potilaat vaativat jopa 10 000 euron korvauksia tietomurrosta konkurssipesä pitää 2 500:aa euroa ylärajana
    https://yle.fi/uutiset/3-12134525
    Psykoterapiakeskus Vastaamon konkurssipesä on ensimmäistä kertaa arvioinut asiakkaille maksettavien vahingonkorvauksien enimmäismäärää.
    Konkurssipesän mukaan yksityishenkilöt voisivat saada korvauksia enimmillään 2 500 euroa. Arvio selviää tiedotteesta, jonka pesänhoitaja on lähettänyt velkojille. Summa ei kuitenkaan tarkoita sitä, että vahingonkorvauksia vaativat saisivat tuon rahamäärän.

    Reply
  42. Tomi Engdahl says:

    Data ei ole uusi öljy, vaan uusi uraani
    https://etn.fi/index.php/13-news/12744-data-ei-ole-uusi-oeljy-vaan-uusi-uraani

    Digi- ja väestötietoviraston tänään alkaneella Digiturvaviikolla ruoditaan digiturvallisuutta eri suunnista. Data avaa uusia bisnesmahdollisuuksia, mutta väärissä käsissä se on vaarallinen ase. – Data ei ehkä olekaan uusi öljy, vaan uusi uraani, sanoi F-Securen Mikko Hyppönen.

    Jarno Limnellin mukaan case Vastaamo oli digitaalinen suuronnettomuus. – Oltiin hämillään siitä, miten pitäisi toimia, kun uhreja oli kymmeniä tuhansia. Hyvää on se, että tästä on olut pakko oppia. Mutta herättikö Vastaamo siltikään suomalaista yhteiskuntaa tarpeeksi, Limnell kysyi.

    - Toivottavasti on opittu, että ollaan enemmän huolestuneita siitä, minkälaisia tietoturvahaasteita on. Toivottavasti tämä johtaa siihen, että olemme entistä valveutuneempia, Paananen komppasi.

    Mikko Hyppösen mukaan Vastaamossa oli kansainvälisestikin poikkeuksellista se, että yritys meni konkurssiin. – Tiedossa on vain noin 30 tapausta, joissa yritys on mennyt nurin tietomurron takia.

    Tämän takia yritysten johto on pyytänyt it-osastoja selvittämään, missä data on ja miten se on suojattu ja varmuuskopioitu. – Yhteiskunta reagoi melko hitaasti mutta yritykset ovat reagoineet varsin nopeasti, Hyppönen kehuu.

    Mikko Hyppönen muistuttaa, että Vastaamo oli rikoksena poikkeuksellisen julma. – Kyse ei ollut vahingosta, vaan uhreja kiristettiin kaikkein synkimmillä salaisuuksilla.

    Jarno Limnellin mukaan usein mietitään tietoturvan hallintakeinoja, kun pitäisi miettiä sitä, mitä ollaan suojaamassa. – Mikä on kaikkein tärkeä, kriittinen data? Tämän Vastaamo-case opetti meidät huomaamaan, hän kiittelee.

    Dataa on usein kutsuttu uudeksi öljyksi, mutta Mikko Hyppönen haluaa kutsua sitä uudeksi uraaniksi. – Uraani on hyvin arvokasta, mutta myös hyvin vaarallista. Uraani myös säilyy vaarallisena hyvin pitkään. Samoin varastettu data on verkossa vielä sata vuotta sen jälkeen, kun kaikki uhrit ovat jo kuolleet, hän muistuttaa.

    Jarno Limnellin mukaan ennen saa unohtaa, että meillä on kymmeniä tuhansia ihmisiä, jotka eivät tiedä, onko heistä varastettu jotain tietoja, tämä voi tulla pidemmällä aikavälillä eteen.

    Reply
  43. Tomi Engdahl says:

    Psykoterapiakeskus Vastaamolle 600 000 euron seuraamusmaksun erittäin vakavista tietoturvallisuuspuutteista
    https://yle.fi/uutiset/3-12232962
    Tietosuojavaltuutetun toimisto katsoo, ettei henkilötietoja ollut asianmukaisesti suojattu luvattomalta ja lainvastaiselta käsittelyltä.
    Vastaamon toiminta ei toimiston mukaan vastannut henkilötietojen käsittelyyn vaadittavaa turvallisuutta. Lisäksi Vastaamon olisi pitänyt kertoa tietomurrosta vahinkoa kärsineille paljon aikaisemmassa vaiheessa.

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

*

*