Bombshell data breach ransom incident exploded in Finland. Psychotherapy center Vastaamo patient records were breached and ransom demands for not publishing data was sent to both company and patients. Patient data of 300 were already published on-line.
Vastaamo, which has branches throughout the Nordic country of 5.5 million and operates as a sub-contractor for Finland’s public health system, said its client register with intimate patient information was likely stolen during two attacks that started almost two years ago. The size of register is over 40 000 patients, so almost 1% of country population. Also some public hospital records could have leaked as company was a sub-contractor for handling records for some hospitals.
The privately-run psychotherapy centre Vastamo announced that sensitive information about its clients was leaked after its database was (not so) recently hacked.
The criminals demanded from the psychotherapy center Vastaamo 450,000 euros in exchange for stopping publishing the data. The center said the unknown perpetrator or perpetrators had published at least 300 patient records containing names and contact information using the anonymous Tor communication software.
The National Bureau of Investigations, and other agencies, have launched an investigation into how the data might have become compromised.
Hackers hijack and publish mental health data of hundreds of people
https://www.foreigner.fi/articulo/national/scandal-over-the-hijack-and-and-publication-of-private-mental-health-data/20201023121903008599.html
Finland shocked by therapy center hacking, client blackmail
https://abcnews.go.com/Health/wireStory/finland-shocked-therapy-center-hacking-client-blackmail-73817011
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Hackers hold patient information for ransom in psychotherapy data breach
https://newsnowfinland.fi/crime/hackers-hold-patient-information-for-ransom-in-psychotherapy-data-breach
Hacking may have compromised privacy of thousands of psychotherapy clients in Finland
https://www.helsinkitimes.fi/finland/finland-news/domestic/18203-data-break-in-compromises-privacy-of-thousands-of-psychotherapy-clients-in-finland.html
Psychotherapy centre’s database hacked, patient info held ransom
The company did not reveal when the hack took place, nor how extensive it was.
https://yle.fi/uutiset/osasto/news/psychotherapy_centres_database_hacked_patient_info_held_ransom/11605460
Vastaamon asiakkaat ovat saaneet henkilökohtaisia kiristysviestejä,
viesteissä vaaditaan 200-500 euron arvosta bitcoineja Poliisi:
“Kiristysviestin vaatimuksiin ei tule suostua”
https://www.hs.fi/kotimaa/art-2000006698803.html
Yksityishenkilöille on lähetetty kiristyssähköposteja älä suostu
vaatimuksiin, tee sähköinen rikosilmoitus, älä soita hätäkeskukseen
https://www.poliisi.fi/tietoa_poliisista/tiedotteet/1/1/yksityishenkiloille_on_lahetetty_kiristyssahkoposteja_ala_suostu_vaatimuksiin_tee_sahkoinen_rikosilmoitus_ala_soita_hatakeskukseen_94177
Mikko Hyppönen arvioi Vastaamon kiristäjän mahdollisuuksia jäädä
kiinni pitää tapausta ainutlaatuisena
https://www.is.fi/digitoday/tietoturva/art-2000006696775.html
Psykoterapiakeskuksen potilastietoja julkaistiin internetissä
syyllistytkö rikokseen, jos katsot niitä? Professori:
“Tulkintakysymys”
https://www.kauppalehti.fi/uutiset/psykoterapiakeskuksen-potilastietoja-julkaistiin-internetissa-syyllistytko-rikokseen-jos-katsot-niita-professori-tulkintakysymys/f2f83cf5-659e-47e3-b401-bb8846ddc250
Uusimmat tiedot Vastaamon tietomurrosta: Vastaamo on ollut myös Kelan
palvelutuottaja, kiristäjän verkkosivu palasi nettiin, HUSin, Tyksin,
Taysin ja Kanta-Hämeen keskussairaalan asiakastietoja voinut vuotaa
https://yle.fi/uutiset/3-11610267
Vastaamo company official announcement of breach
https://vastaamo.fi/ajankohtaista/
F-Secure’s Hyppönen on Vastamo’s hacking: “Most likely, an attacker has used automated tools to look for vulnerable services”
Hyppönen believes that Vastamo was the target of a data breach by accident.
Mikko Hyppönen, Research Director of the security company F-Secure, considers the hacking of the Psychotherapy Center Vastamo to be exceptional.
“Until now, professional criminals have sought to break into financial institutions, above all, or have tried to fish for credit card numbers. This is the first time subject to medical records. In the past, they have not interested criminals, ”says Hyppönen.
He said criminals have decided that sensitive health information may be of interest. Health information is available in a great many systems. It is possible that some systems are vulnerable.
Hyppönen believes that Vastamo was the target of a data breach by accident.
“Most likely, the attacker has used automated tools to look for vulnerable services. For example, a machine can tap thousands of login attempts per minute. Sooner or later, weakly protected services will be found, ”says Hyppönen.
Source:
F-Securen Hyppönen Vastaamon tietomurrosta: ”Todennäköisimmin hyökkääjä on automaattityökaluilla etsinyt haavoittuvia palveluita”
https://www.tivi.fi/uutiset/f-securen-hypponen-vastaamon-tietomurrosta-todennakoisimmin-hyokkaaja-on-automaattityokaluilla-etsinyt-haavoittuvia-palveluita/5e1f0b1f-b981-47f7-a622-a596366b208e
271 Comments
Tomi Engdahl says:
Vastaamo sai 608 000 euron sakot – joita kukaan ei varmasti maksa https://www.is.fi/digitoday/art-2000008479002.html
Tomi Engdahl says:
Poliisi: Vastaamon uhrien tietoja käytetään rikoksiin: “Ilmiö on erityisen vastenmielinen”
https://www.is.fi/digitoday/tietoturva/art-2000008606455.html
Poliisi on seurannut alusta asti, käytetäänkö Vastaamon varastettuja henkilötietoja rikoksiin. Poliisin mukaan tällaisia tapauksia on nyt havaittu noin sata kappaletta. Tietoja on käytetty erilaisissa rekisteröinneissä, ja niitä saatetaan käyttää esimerkiksi tilauspetosten tekemiseen. POLIISIN mukaan suuri osa tietojen hyväksikäytöstä on havaittu palveluissa, joissa ei ole käytössä vahvaa tunnistautumista, kuten pankkitunnuksilla kirjautumista, vaan tunnistautumisessa käytetään esimerkiksi henkilötunnusta.
Tomi Engdahl says:
Poliisi epäilee Vastaamon tietomurron johtuneen työntekijöiden törkeästä huolimattomuudesta tai tahallisuudesta https://www.is.fi/digitoday/tietoturva/art-2000008956543.html
PSYKOTERAPIAKESKUS Vastaamoon kohdistunutta tietomurtoa ja asiakkaiden tietojen vuotamista tutkitaan keskusrikospoliisissa (KRP) yhä aktiivisesti. Päätutkintalinja osoittaa Euroopan ulkopuolelle.
– Sen kanssa on edetty ja sen kanssa tehdään edelleen töitä, sanoo tutkinnanjohtaja Marko Leponen.
KRP ei vielä kommentoi, mistä maista on kyse ja kuinka monta epäiltyä asiassa on. Ulkomaille johtavat jäljet eivät Leposen mukaan tarkoita sitä, ettei suomalainen tekijä olisi yhä mahdollinen.
– Aika näyttää, onko siellä kotimainen, ulkomainen vai molemmista koostuva tekijäjoukko.
Vastaamoon kohdistui yhtiön itsensä mukaan tietomurto marraskuussa 2018 ja maaliskuussa 2019. Lokakuussa 2020 yhtiö kertoi joutuneensa kiristyksen kohteeksi. Asiakkaiden tietoja julkaistiin netissä ja heiltä vaadittiin lunnaita tietojen levittämisen uhalla.
Leposen mukaan tietomurron ja kiristyksen välisen ajan perusteella on mahdollista, että tietomurron tekijä ja kiristäjä ovat eri taho. KRP tutkii asiassa muun muassa törkeää tietomurtoa ja törkeää kiristystä.
POLIISIN mukaan Vastaamon tietokannassa oli noin 33 000 ihmisen tiedot. Noin 22 000 ihmistä teki asiassa tutkintapyynnön, ja heistä vain noin 6 000:lta on tähän mennessä saatu täydentävä lausuma.
Poliisin tietoon on tullut noin sata tapausta vuodettujen tietojen väärinkäytöstä. Lisäksi poliisille on saapunut 10–15 rikosilmoitusta siitä, että kiristäjille on maksettu vaadittuja lunnaita.
Tietomurron ja kiristyksen lisäksi KRP on tutkinut Vastaamon työntekijöiden osuutta tietojen vuotamiseen.
– Poliisin epäilys tässä vaiheessa on tahallisuuden ja törkeän huolimattomuuden välillä.
Tomi Engdahl says:
Poliisi epäilee Vastaamon tietomurron johtuneen työntekijöiden törkeästä huolimattomuudesta tai tahallisuudesta https://www.is.fi/digitoday/tietoturva/art-2000008956543.html
PSYKOTERAPIAKESKUS Vastaamoon kohdistunutta tietomurtoa ja asiakkaiden tietojen vuotamista tutkitaan keskusrikospoliisissa (KRP) yhä aktiivisesti. Päätutkintalinja osoittaa Euroopan ulkopuolelle. Leposen mukaan tietomurron ja kiristyksen välisen ajan perusteella on mahdollista, että tietomurron tekijä ja kiristäjä ovat eri taho. KRP tutkii asiassa muun muassa törkeää tietomurtoa ja törkeää kiristystä.
Poliisin epäilys tässä vaiheessa on tahallisuuden ja törkeän huolimattomuuden välillä. On syyttäjän tehtävä katsoa, vastaako se lopulta myös hänen näkemystään.
Tomi Engdahl says:
Vastaamon tietosuojarikostutkinta on valmis yhtiön kolmea entistä työntekijää epäillään törkeästä huolimattomuudesta
https://yle.fi/uutiset/3-12619682
Kolmea henkilöä epäillään törkeästä huolimattomuudesta henkilötietojen käsittelyssä. Tapaus etenee heidän osaltaan syyteharkintaan. Leponen sanoo Ylelle, että kaikki kolme epäiltyä ovat toimineet asemassa, jossa ovat vastanneet yrityksen tietoturvasta ja tietosuojasta.
Poliisin mukaan kaikki epäillyt kiistävät syyllistyneensä rikokseen.
Tomi Engdahl says:
Vastaamon IT-työntekijät välttyivät syytteeltä – tietoturva retuperällä: ”Piraattiversio, ilman ostettua lisenssiä” https://www.is.fi/digitoday/tietoturva/art-2000009097454.html
Vastaamon tietoturvassa oli useita puutteita, ilmenee julki tulleista asiakirjoista.
PSYKOTERAPIAKESKUS Vastaamon ex-toimitusjohtaja Ville Tapio sai syytteen tietosuojarikoksesta, syyttäjä ilmoitti tiistaina.
Epäilyn mukaan Tapio olisi käsitellyt henkilötietoja niin huolimattomasti, että kymmenien tuhansien asiakkaiden arkaluonteisia tietoja pääsi vuotamaan ulkopuolisille.
Ville Tapio on itse sanonut Vastaamon tietoturvan olevan kunnossa, ja potilastietojen olleen moninkertaisten ohjelmisto- ja laitteistopohjaisten suojauksen takana.
Poliisi epäili myös kahta muuta Vastaamon tietoturvasta -ja suojasta vastannutta it-työntekijää rikoksesta. Heidän mielestään yhtiön turvajärjestelmät olivat riittämättömät. Heidän mukaansa Tapio käski vaieta tietomurrosta. Syyttäjä ei nostanut heitä vastaan syytettä, koska rikosepäilylle ei ollut todennäköisiä syitä.
TIISTAINA julkitulleiden asiakirjojen mukaan Vastaamon tietoturva olisi ollut jopa vuosia retuperällä. Erään todistajan mukaan yhtiön tietoturvaohjelmistot ja palomuurit toimivat minimitasolla. Se ei ollut hänen mielestään riittävää, koska yhtiön palvelimilla oli arkaluonteista sisältöä.
Yhden vanhan työntekijän mukaan Vastaamon tietoturvaan ja it-infrastruktuuriin oli panostettu taloudellisesti ja resurssein hyvin vähän, jos edes sitäkään. Ex-työntekijän mukaan Vastaamolla mentaliteetti oli ollut, että ”tehdään sitten, kun on pakko”.
YHDEN todistajan mukaan myös it-budjetti oli aivan liian pieni. Hänen mukaansa yhtiöön hankittiin lähinnä ilmaisia työkaluja. It-arkkitehtuurin kannalta kriittinen järjestelmä oli esimerkiksi laiton versio.
– Lähinnä hankittiin ilmaisia työkaluja, muun muassa virtualisointialusta oli piraattiversio, ilman ostettua lisenssiä, todistaja sanoi.
POLIISIN esitutkinnan mukaan yhtiössä oli havaittavissa marraskuun 2017 ja syyskuun 2020 välisenä aikana noin 40 tietoturvapoikkeamaa. Poliisin mukaan Tapio ja yhtiön it-osasto olivat poikkeamista pääsääntöisesti tietoisia.
– Erityisesti esille on otettu Vastaamossa käytössä olleet heikot salasanat ja niiden jakaminen salaamattomana, syyttäjän laatimassa asiakirjassa kirjoitetaan.
VASTAAMOON kohdistui yhtiön mukaan tietomurto marraskuussa 2018 ja maaliskuussa 2019.
Viranomaiset saivat kuulla potilastietojen vaarantumisesta vasta Vastaamon saaman kiristysviestin jälkeen syyskuussa 2020.
Asiakkaiden tietoja julkaistiin netissä ja heiltä vaadittiin lunnaita tietojen levittämisen uhalla. Poliisi ei ole vielä selvittänyt, kuka tietomurrosta oli vastuussa.
Tomi Engdahl says:
Vastaamon toimitusjohtaja sai syytteen tietosuojarikoksesta https://www.hs.fi/kotimaa/art-2000009096528.html
Vastaamon tietomurrosta on nostettu ensimmäinen syyte. Toimitusjohtaja Ville Tapio saa syytteen henkilötietojen käsittelystä niin huolimattomasti, että asiakkaiden tiedot pääsivät vuotamaan. myös:
https://www.is.fi/digitoday/tietoturva/art-2000009097454.html
Tomi Engdahl says:
https://www.iltalehti.fi/digiuutiset/a/69314f2e-bb1c-4ea0-8ad6-9a188e0668b5
“Virstanpylväs Euroopassa”: Kaasuputki Norjasta Puolaan on avattu – tarkoituksena vähentää energiariippuvuutta Venäjästä
Tomi Engdahl says:
https://www.mtvuutiset.fi/artikkeli/ruotsalaisasiantuntija-mahdollinen-rajahde-saattanut-olla-kaasuputkien-luona-vuosikausia-vesipatsaat-nyt-noin-10-metrin-korkuisia/8523252#gs.dbuc93
Tomi Engdahl says:
DIGI & TEKNIIKKADIGIUUTISET
Tätä miestä epäillään Vastaamon tietomurrosta – poliisi kommentoi tutkintaa suorassa lähetyksessä
Epäillystä on annettu eurooppalainen pidätysmääräys.
https://www.iltalehti.fi/digiuutiset/a/90ce5a8e-3375-4dd5-8cc4-d5a2ef64a092
Keskusrikospoliisi (KRP) kertoo edenneensä Psykoterapiakeskus Vastaamoon kohdistuneen tietomurron tutkinnassa.
Iltalehti haastattelee tapauksen tutkinnanjohtajaa, rikoskomisario Marko Leposta KRP:ltä tänään aamupäivällä. Haastattelu näytetään suorana tässä jutussa. Haastattelu alkaa noin kello 10.
KRP:n tiedotteen mukaan noin 25-vuotias Suomen kansalainen on vangittu poissaolevana Vastaamoon kohdistuneesta tietomurrosta.
Henkilö vangittiin Helsingin käräjäoikeudessa torstaina 27.10. Hänet vangittiin todennäköisin syin epäiltynä törkeästä tietomurrosta, törkeän kiristyksen yrityksestä ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.
Poliisin tiedossa on, että epäilty oleskelee tällä hetkellä ulkomailla. Eurooppalaisen pidätysmääräyksen nojalla hänet voidaan ottaa kiinni ulkomailla. Kiinnioton jälkeen poliisi pyytää epäillyn luovuttamista Suomeen.
– Poliisi on edistynyt tutkinnassa merkittävästi. Tähän pisteeseen on päästy pitkäjänteisellä ja huolellisella työllä. Esitutkinnassa on tehty tiivistä yhteistyötä sekä poliisilaitosten että muiden viranomaisten kesken Suomessa ja kansainvälisesti.
Esitutkinta on edelleen kesken. Poliisi selvittää lisäksi tietomurrosta epäillyn henkilön yhteyttä tietomurron uhreihin kohdistuneisiin kiristyksiin ja tietojen levittämiseen.
Poliisi tiedotti Vastaamoon kohdistuneesta tietomurrosta ensimmäisen kerran lokakuussa 2020. Poliisi on tutkinut tietomurron lisäksi myös yrityksen tietoturvaan liittyviä väitettyjä laiminlyöntejä, jotka ovat edenneet syyteharkintaan.
Poliisin mukaan Vastaamon tietomurron uhrit ovat tehneet ennätyksellisen paljon rikosilmoituksia, yhteensä yli 25 000.
Iltalehti julkaisee epäillyn nimen poikkeuksellisesti jo esitutkintavaiheessa rikoksen yhteiskunnallisen merkittävyyden ja epäillyn rankan rikostaustan perusteella.
Tomi Engdahl says:
Hän on Vastaamon tietomurrosta epäilty espoolaismies: Mursi 50 000 palvelinta ja usutti poliisin erikoisjoukot FBI-agentin vanhempien kotiin
https://yle.fi/uutiset/3-12669102
Teosta epäillyn nimi nousi esiin jo aivan tutkinnan alussa hänen rikostaustansa ja osaamisensa takia.
Tomi Engdahl says:
https://www.iltalehti.fi/kotimaa/a/17d03315-438f-43cb-8a78-780d947650fc
Tomi Engdahl says:
IS tavoitti Vastaamo-tietomurtajan asianajajan välityksellä kiistää rikokset https://www.is.fi/digitoday/art-2000009166594.html
Poliisi ilmoitti perjantaina, että Vastaamo-tietomurrosta epäillään 25-vuotiasta suomalaismiestä. Hän on espoolaislähtöinen kansainvälisesti tunnettu ja aiemminkin tietomurtoja tehtaillut hakkeri Julius Kivimäki. Iltapäivällä perjantaina selvisi, että nuori mies oli ottanut yhteyttä asianajajaansa Peter Jaarliin, joka on avustanut Kivimäkeä aiemmissakin oikeusjutuissa. Kivimäki kommentoi asianajajansa välityksellä Ilta-Sanomille, että hän kiistää syyllistyneensä rikoksiin. Asianajajalle toimittamassaan viestissä Kivimäki väittää myös, että hän olisi ollut aktiivisesti yhteydessä poliisiin.
Tomi Engdahl says:
Vastaamon tietomurrosta epäilty hakkeri esitti kovia väitteitä poliisin toiminnasta – näin KRP vastaa https://www.is.fi/digitoday/art-2000009170686.html
Tomi Engdahl says:
Poliisi jäljitti Vastaamo-tutkinnassa uhrien virtuaalivaluutalla maksamia lunnaita https://www.is.fi/digitoday/art-2000009176708.html
Tomi Engdahl says:
Vastaamo-tietomurrosta epäilty Julius Kivimäki Euroopan etsityimpien rikollisten listalle – tältä hän näyttää nyt
Kivimäki, 25, vangittiin lokakuun lopussa poissaolevana epäiltynä Vastaamon tietomurrosta.
https://www.iltalehti.fi/kotimaa/a/52548703-5192-46bb-b037-a73f454c0611
Keskusrikospoliisi on lisännyt Vastaamo-tietomurrosta epäillyn suomalaisen Julius Kivimäen Euroopan etsityimpien rikollisten listalle.
KRP tiedottaa, että vinkit Kivimäestä voi välittää numeroon 050 4401800 tai Europe’s most wanted -sivustolle.
Vangittu poissaolevana
Kivimäkeä epäillään Vastaamo-tietomurrosta, joka tapahtui syksyllä 2020. Hänet on etsintäkuulutettu ja hänestä on annettu aikaisemmin eurooppalainen pidätysmääräys.
Kivimäki vangittiin poissaolevana Helsingin käräjäoikeudessa torstaina 27.10. todennäköisin syin epäiltynä törkeästä tietomurrosta, törkeän kiristyksen yrityksestä ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.
Kivimäki on tuomittu aiemmin suurta kansainvälistä huomiota saaneista tietomurroista, jotka hän teki alaikäisenä 2010-luvun puolivälissä.
Hänet oli jo ennen näitä rikoksia tuomittu vuonna 2015 Espoon käräjäoikeudessa muun muassa 50 700 tietomurrosta kahden vuoden ehdolliseen vankeusrangaistukseen. Kyseiset rikokset hän teki vuosina 2012—2013 ollessaan vasta 15—16-vuotias.
Tomi Engdahl says:
Tietomurrosta epäilty Julius Kivimäki Iltalehdelle: ”KRP:n Marko Leponen on kieltäytynyt kuulemasta minua”
Julius Kivimäki kiistää syyllisyytensä Vastaamon tietomurtoon.
https://www.iltalehti.fi/kotimaa/a/ce734649-655a-4047-bd7e-bf7bf58e9b30
Vastaamon tietomurrosta epäilty Julius Kivimäki kiistää syyllisyytensä Vastaamon tietomurtoon.
– En ole osallistunut rikolliseen toimintaan sitten teinivuosien, ja kadun niitä toimia syvästi, Kivimäki kirjoittaa Twitterissä.
Kivimäen asianajajana aiemmin toiminut Peter Jaari vahvistaa Iltalehdelle tilin @AlexKivimaeki kuuluvan Julius Kivimäelle.
Kivimäki kertoo Iltalehdelle yksityisviestitse ”kommentoivansa laajemmin myöhemmin”.
– Katellaan nyt onko poliisilla enemmän kommentoitavaa, tällä hetkellä ei ole juuri mitään mihin pystyisi vastaamaan, Kivimäki sanoo Iltalehdelle.
– Toivon uhrien kannalta, että poliisilla on aikaa minun kiusaamiseni lisäksi myös selvittää jutun todellista tekijää, Kivimäki jatkaa.
Kivimäki kirjoittaa olleensa kahden vuoden ajan ”jatkuvasti yhteydessä poliisiin asian selvittämiseksi”.
– Keskusrikospoliisin Marko Leponen on kieltäytynyt kuulemasta minua, Kivimäki kertoo Iltalehdelle yksityisviestillä.
– Olen ollut tietoinen tutkinnasta jo kahden vuoden ajan, joten sotkemis- tai jatkamisvaarasta on turha puhua. Ainoa syy minun vangitsemiselle olisi mahdollinen pakeneminen, mutta tarjoudunkin nyt vapaaehtoisesti palaamaan Suomeen, Kivimäki kirjoittaa Iltalehdelle.
– Tulen Suomeen vaikka huomenna kunhan saan vastata syytteisiin vapaalla jalalla.
Kivimäki ei omien sanojensa mukaan ole Suomessa. Hänen osoitteensa on Isossa-Britanniassa, jos hänen Twitter-viestinsä pitävät paikkansa.
Tällainen on Julius Kivimäki, jota epäillään Vastaamon tietomurrosta
https://www.iltalehti.fi/kotimaa/a/17d03315-438f-43cb-8a78-780d947650fc
Perätön pommiuhkaus American Airlinesin lennolle sekä teinihakkerin mitätön tuomio saivat aikanaan suurta huomiota kansainvälisessä mediassa.
KRP:n tiedotteen mukaan noin 25-vuotias Suomen kansalainen on vangittu poissaolevana Vastaamoon kohdistuneesta tietomurrosta. Hänestä on annettu eurooppalainen pidätysmääräys.
Iltalehden tietojen mukaan 25-vuotias epäilty, Aleksanteri Julius Kivimäki, jolla on rankkaa entisyyttä hakkeririkosten parissa. Hän on käyttänyt kutsumanimenään toista nimeään. Verkossa hän on viime vuosina esiintynyt sijoittajana ja hyväntekijänä, esimerkiksi Long Playn haastattelussa vuonna 2016 hän kertoi matkustelevansa paljon maailmalla.
Long Playn mukaan Kivimäki on opiskellut matematiikkalukiossa, mutta ei suorittanut ylioppilastutkintoa. Jutun mukaan hän on viettänyt pienestä pitäen paljon aikaa tietokoneella ja kiinnostui kouluikäisenä hakkeroinnista ja piratoinnista.
Tomi Engdahl says:
Virhe saattoi johtaa epäillyn Vastaamo-hakkerin jäljille
Hakkereiden jäljille on hyvin vaikea päästä. Yksi virhe voi kuitenkin johtaa kiinnijäämiseen.
https://www.iltalehti.fi/digiuutiset/a/754f6e58-eb08-47ab-b314-dbe1c2552df0
25-vuotias suomalaishakkeri on vangittu poissaolevana Vastaamoon kohdistuneesta tietomurrosta epäiltynä. Hänestä on annettu eurooppalainen pidätysmääräys. Kyseessä on Aleksanteri Julius Kivimäki, jolla on taustaa kyberhyökkäyksistä.
Poliisi on paljastanut vielä vähän tarkempia tietoa siitä, miten hakkerin jäljille päästiin. Check Pointin tietoturva-asiantuntija Jarno Ahlströmin mukaan hyökkääjät voivat jättää jälkiä, joita seuraamalla heidät saadaan kiinni.
– Jäljet, joita tavallisesti jää, ovat erinäisiä lokimerkintöjä ja tiedostoja, joita on siirretty kohdepalvelimelle. Ensimmäinen asia, jonka hyökkääjä pyrkii tekemään, on niiden poistaminen. Hän haluaa piilottaa jälkensä siitä, mitä laitteella on tullut tehtyä, Ahlström sanoo.
Ahlstömin mukaan kokenut hakkeri osaa kuitenkin tavallisesti peittää jälkensä niin, että hänen jäljilleen on erittäin vaikea päästä.
– Omat tekemiset on yleensä varsin helppo peittää. Riippuen hyökkäyksen tavasta, asiat voivat mennä kuitenkin vaikeammiksi. Jos hyökkääjä on asentamassa esimerkiksi haittaohjelmaa, niitä ei voi poistaa itse tämän poistuessa. Niistä saattaa löytyä joitain vihjeitä siihen, mistä päin hyökkääjä on lähtöisin tai onko samoja ohjelmia käytetty muualla. Sitä kautta saadaan laajennettua kenttää, johon hyökkäys on kohdentunut.
– Niin sanotut harrastelijahakkerit käyttävät taas usein valmiita, muiden tekemiä hyökkäysmekanismeja ja -metodeja, jotka saattavat jättää jälkiä siivoamatta. Sen kautta useimmiten he jäävät sitten kiinni.
Ahlström kertoo, että hyökkääjä haluaa ensisijaisesti peittää sijaintinsa.
– Tämä on hyökkäyksen valmistelun ensimmäisiä asioita, joita osaava ja kokenut hyökkääjä tekee. Hän ei ota omalta koneeltaan mitään yhteyksiä, vaan pyrkii reitittämään hyökkäyspolun mahdollisimman hankalasti havaittavaksi esimerkiksi jonkun toisen kaapatun koneen tai Tor-verkkojen kautta. Näin yritetään piilottaa lähtöpistettä eli mistä toiminta on lähtöisin.
Ahlströmin mukaan Vastaamo-tapauksessa ja muissa vastaavissa laajoissa hyökkäyksissä jäljitysprosessi on raskas.
– Pääsääntöisesti osaavan hyökkääjän toimiin on hankala puuttua niin, että hänet saataisiin kiinni. Tällaisissa tapauksissa puhutaan usein pitkäkestoisista, jatkuvista hyökkäyksistä, joissa hyökkääjällä on pääsy järjestelmään vaikka vuosien ajaksi, jolloin asioita voidaan tehdä hiljalleen ja huomaamatta. Hyökkääjä pyrkii jo lähtökohtaisesti siihen, että ei ole mitään, mitä seurata.
Sillä, että Vastaamo-tapauksella oli paljon uhreja, ja se sai paljon huomiota, on Ahlströmin mukaan ollut todennäköisesti suuri vaikutus tutkintaan. Se, että uhreja on paljon, ei vaikuta suoraan siihen, kuinka helppo rikollisen jäljille pääsy on, mutta se voi tehostaa tutkintaa.
– Asian merkittävyys vaikuttaa paljon tutkintaan. Jos uhreja on paljon, alkaa se kiinnostaa suurempaa yleisöä sekä poliisia. Kiinnijäämisen riski kasvaa tällöin tietyssä määrin, Ahlström toteaa.
Epäillyn motiivi epäselvä
Ahlströmin mukaan hyökkääjien motiiveja on erilaisia.
– Kyseessä voi olla puhtaasti kiusanteko syystä tai toisesta. Hakkerit voivat myös hakea mainetta ja kunniaa toisten hakkereiden keskuudessa internetin pimeällä puolella. Puhtaasti raha on myös monella hyökkääjällä mielessä, Ahlström toteaa ja jatkaa:
– Erilaiset kiristystapaukset ovat olleet hyvin vahvasti nousussa. Tiedon saaminen ja sen levittäminen ovat myös tavallinen tarkoitusperä, jolla yritetään tavoitella rahaa. Väittäisin, että tällä hetkellä määrätietoiselle hakkerille suurin motiivi on raha.
Kivimäen motiiveista ei ole tietoa. Hän on saattanut tavoitella huomiota mutta myös rahallista hyötyä.
Tomi Engdahl says:
Läpimurto Vastaamo-vyyhdissä – poliisi kertoo, miten siinä onnistuttiin
Epäillystä on annettu eurooppalainen pidätysmääräys.
https://www.iltalehti.fi/digiuutiset/a/90ce5a8e-3375-4dd5-8cc4-d5a2ef64a092
Keskusrikospoliisi (KRP) on tehnyt suoranaisen läpimurron yli kaksi vuotta jatkuneessa Psykoterapiakeskus Vastaamon tietomurtovyyhdin esitutkinnassa.
Helsingin käräjäoikeus vangitsi torstaina 27. lokakuuta poissaolevana 25-vuotiaan suomalaismiehen tietomurrosta epäiltynä. Häntä epäillään törkeästä tietomurrosta, törkeän kiristyksen yrityksestä ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.
Miehestä on annettu eurooppalainen pidätysmääräys. Sen nojalla hänet voidaan ottaa kiinni ulkomailla. Kiinnioton jälkeen poliisi pyytää epäillyn luovuttamista Suomeen.
Kyseessä on Aleksanteri Julius Kivimäki, jolla on rankkaa entisyyttä hakkeririkosten parissa. Iltalehti julkaisee epäillyn nimen poikkeuksellisesti jo esitutkintavaiheessa rikoksen yhteiskunnallisen merkittävyyden ja epäillyn rankan rikostaustan perusteella.
Tomi Engdahl says:
Hacker Charged With Extorting Online Psychotherapy Service https://krebsonsecurity.com/2022/11/hacker-charged-with-extorting-online-psychotherapy-service/
A 25-year-old Finnish man has been charged with extorting a once popular and now-bankrupt online psychotherapy company and its patients. Finnish authorities rarely name suspects in an investigation, but they were willing to make an exception for Julius “Zeekill” Kivimaki, a notorious hacker who – at the tender age of 17 – had been convicted of more than 50, 000 cybercrimes, including data breaches, payment fraud, operating botnets, and calling in bomb threats. myös: Vastaamo-tietomurrosta epäilty Julius Kivimäki lisätty Euroopan etsityimpien rikollisten listalle – kuva julki – https://www.is.fi/digitoday/art-2000009178253.html
Tomi Engdahl says:
Poliisi jäljitti Vastaamo-tutkinnassa uhrien virtuaalivaluutalla maksamia lunnaita https://www.is.fi/digitoday/art-2000009176708.html
VIRTUAALIVALUUTTOJA pidetään yhä usein käyttäjän henkilöllisyyden suojaavina anonyymeinä vaihdon välineinä. Viranomaisilla, kuten poliisilla ja Tullilla, on kuitenkin kyky jäljittää niiden siirtoja.
Virtuaalivaluuttojen jäljittäminen kuuluu osittain poliisin salassa pidettäviin menetelmiin, eikä siitä syystä voida kertoa, miten se tarkalleen toimii. Yksinkertaistettuna jäljittämisessä on Christensenin mukaan kyse verkkoon jäävien jälkien tutkimisesta.
Tomi Engdahl says:
Poliisilta tärkeä kehotus Vastaamo-tietomurron uhreille: Toimi nyt https://www.is.fi/digitoday/tietoturva/art-2000009180847.html
Huomattavan moni uhreista ei ole antanut lausuntoa poliisille.
POLIISIN mukaan noin 22000 asianomistajaa on tehnyt rikosilmoituksen tapaukseen liittyen, mutta sähköisiä lausumia on annettu vasta noin 6400. Lisäksi arviolta noin 10000 uhria ei ole tehnyt rikosilmoitusta, joka on edellytys lausuman antamiselle.
Tomi Engdahl says:
Vastaamon tietomurtoepäillystä rikostutkinta myös Turussa – epäillään toisesta tietomurrosta ja muista rikoksista
https://yle.fi/uutiset/74-20003775
Poliisi epäilee, että Vastaamon tietomurrosta epäilty mies on tehnyt toisen tietomurron ja muita rikoksia Turussa.
Tomi Engdahl says:
Vastaamo-kiristäjän jäljillä – se oli sittenkin hovimestari?
https://pjarvinen.blogspot.com/2022/10/vastaamo-kiristajan-jaljilla-se-oli.html?m=1
Vastaamon tietomurto järkytti suomalaisia 21.10.2020, kun vyyhdin uutisointi alkoi. Tasan vuotta myöhemmin poliisi kertoi seuraavansa jälkeä ulkomaille. Tänään, lähes tarkalleen kaksi vuotta tapahtuman jälkeen, poliisi kertoi antaneensa kansainvälisen pidätysmääräyksen 25-vuotiaasta suomalaisesta.
Tekijäksi epäilty Kivimäki tuomittiin Espoossa 2015 yli 50 000 automatisoidusta hakkeroinnista mm. Yhdysvaltojen tietojärjestelmiin. Hänen profiilinsa sopii hyvin Ransom_man-nimimerkin toimintaan. Kaksivaiheinen kiristys nousevalla vaatimuksella oli harrastajamainen viritys, johon ammattilainen ei koskaan lähtisi. Epäilty on siten “poliisin vanha tuttu” ja tietoturvapiireissä tuttu, mikä on melkeinpä pettymys.
Näinkö yksinkertainen tapaus olikin? Melkein kuin se, että murhaajaksi osoittautuu hovimestari (vanha sanonta, en muista yhtään dekkaria missä hovimestari olisi oikeasti osoittautunut murhaajaksi).
Todennäköisesti poliisilla on ollut vahva epäily tekijästä alusta lähtien. Ongelmana on vain ollut saada hänet yhdistettyä hakkerointeihin, jotka tapahtuivat kenenkään huomaamatta paljon aiemmin, ja joiden digitaaliset jäljet olivat jo ehtineet kylmentyä.
Olisi kiinnostavaa tietää, miten poliisi on kaksi vuotta käyttänyt. Virallisen selityksen mukaan tutkijat ovat käyneet läpi aineistoa teratavukaupalla, miljoonia sivuja. Eri lähteistä poliisille on kertynyt valtava määrä lokitietoa, mutta sen seulonta koneellisesti on melko tehokasta. Etsitään vain ip-osoitteita ja aikaleimoja sopivilla ehdoilla.
Uskoisin, että paljon aikaa on kulunut tietopyyntöihin eri maiden operaattoreille ja kryptopörsseihin. Onneksi muutama uhri maksoi kiristäjän pyytämän summan, sillä edes Bitcoin-siirrot eivät ole niin anonyymejä kuin kuvitellaan.
Tapaus osoittaa, että lain koura on pitkä ja toimii myös verkkomaailmassa. Hakkerointi ei totisesti ole helppoa. Taitavakin tekijä tekee inhimillisiä erehdyksiä.
homma ei ole vielä maalissa. Syytteen nostaminen ja tuomioon riittävän näytön kokoaminen vaatii vielä paljon työtä. Rikosnimikkeet ovat kuitenkin sen verran vakavia, että teot eivät vanhene ainakaan kahdeksaan vuoteen. Rangaistus on myös oleva paljon kovempi kuin se kahden vuoden ehdollinen tuomio, johon Kivimäki tuomittiin alaikäisenä tehdyistä hakkeroinneista.
Vastaamon uhreja tuleva tuomio voi hieman lohduttaa, mutta vahinkoja se ei poista. Uhrit kärsivät seurauksista vielä pitkään.
Tomi Engdahl says:
Turvallisuuspalvelu Avarnin, psykoterapiakeskus Vastaamon ja marjayhtiö Polarican taustalta löytyy sama omistaja
https://www.hs.fi/visio/art-2000009298776.html
Pääomasijoittaja Intera Partners on ollut omistajana kolmessa yhtiössä, joista on paljastunut viime vuosien pahimpia yritysskandaaleja.
On helppo kuvitella, että tunnelmat pääomasijoittaja Intera Partnersin toimistolla olivat epäuskoiset, kun turvallisuuspalvelu Avarnin vartijoita koskevat pahoinpitelyepäilyt tulivat julki.
Poliisi kertoi joulun jälkeen, että kuutta Avarn Securityn järjestyksenvalvojaa epäillään pahoinpitelyistä ja niiden videokuvaamisesta.
Intera omistaa Avarn Securityn Suomen-toiminnoista noin 42 prosenttia. Interan toimitusjohtaja Juhana Kallio ei halunnut antaa haastattelua aiheesta, joka on sijoitusyhtiölle arvatenkin kipeä ja kiusallinen.
Avarn oli jo kolmas Interan nykyinen tai entinen omistusyhtiö, jonka toimintatavoista ja yrityskulttuurista paljastuu lyhyen ajan sisällä vakavia ongelmia.
Muut kaksi yhtiötä ovat psykoterapiakeskus Vastaamo, jonka tietomurrot ravistelivat suomalaisten uskoa terveystietojen yksityisyyteen loppuvuodesta 2020 alkaen, ja marjayhtiö Polarica, jonka toimitusjohtaja vangittiin syksyllä 2022 epäiltynä ihmiskaupasta.
Vastaamossa Intera oli pääomistaja, kun skandaali puhkesi, mutta tietomurrot tapahtuivat juuri ennen kuin Intera osti yhtiön.
Polarican Intera puolestaan myi pois juuri ennen kuin epäilty ihmiskauppa alkoi.
Interan toimitusjohtaja Juhana Kallio kommentoi sijoitusyhtiön synkkää sarjaa HS:lle vain lyhyesti sähköpostilla.
”Yleisellä tasolla voin todeta, että olemme osaltamme syvästi pettyneitä ja pahoillamme Avarn Securityn järjestyksenvalvojien rikosepäilyistä. Asia on erittäin vakava ja tuomitsemme jyrkästi väkivaltaisen käytöksen”, Kallio kirjoitti.
Vastaamon osalta Kallio muistutti, että Interan näkemyksen mukaan yhtiötä johdettiin yrityskaupassa harhaan.
”Kokonaisuudessaan Vastaamon tapahtumat olivat koko suomalaiselle yhteiskunnalle järkyttäviä ja sen inhimilliset seuraukset tietovuoden uhreille olivat poikkeuksellisen raskaat.”
Tomi Engdahl says:
Vastaamon tietomurrosta epäilty Julius Kivimäki otettu kiinni Ranskassa https://www.is.fi/digitoday/art-2000009369911.html
PSYKOTERAPIAKESKUS Vastaamoon kohdistuneesta tietomurrosta epäilty Julius Kivimäki otettiin Ranskassa kiinni perjantaina.
Ranskan poliisi otti Kivimäen kiinni Suomen eurooppalaisen pidätysmääräyksen nojalla. Poliisi käynnistää välittömästi toimenpiteet epäillyn luovuttamiseksi Suomeen.
Ranskan poliisi vastaa Kivimen säilyttämisestä siihen asti, kunnes hänet luovutetaan Suomeen.
Tomi Engdahl says:
https://poliisi.fi/-/vastaamon-tietomurrosta-epailty-mies-otettu-kiinni-ranskassa
Tomi Engdahl says:
https://www.immuniweb.com/blog/french-police-arrested-notorious-hackers-wanted-by-finland-authorities.html
Tomi Engdahl says:
https://krebsonsecurity.com/2023/02/finlands-most-wanted-hacker-nabbed-in-france/
Tomi Engdahl says:
Hovioikeus päätti Ranskassa: Vastaamon tietomurrosta epäilty Julius Kivimäki luovutetaan Suomeen https://www.is.fi/digitoday/art-2000009396260.html
Versaillesin hovioikeus on antanut tuomionsa Vastaamon tietomurrosta epäillyn Julius Kivimäen tapauksessa. Hovioikeus käsitteli keskiviikkoaamuna Kivimäen tapausta ja antoi tuomion, jolla myönnettiin Kivimäen luovutus Suomen viranomaisille. Hovioikeus kuuli Kivimäkeä videoyhteydellä vankilasta. Hän ei vastustanut luovutusta.
Versaillesin hovioikeuden julkisasiamies Sophie Gulphe-Berbain arvioi Ilta-Sanomille viime viikolla, että Kivimäki voitaisiin luovuttaa Suomen viranomaisille jo ennen helmikuun loppua
Tomi Engdahl says:
Jos Vastaamon tietomurrosta epäilty saa tuomion, häntä odottaa pitkä ehdoton vankeusrangaistus, arvioi rikosoikeuden professori
https://yle.fi/a/74-20019803
Rikosoikeuden professori Matti Tolvanen arvioi, että Julius Kivimäkeä epäillään hyvin vakavista rikoksista.
Psykoterapiakeskus Vastaamon tietomurrosta epäiltyä Julius Kivimäkeä odottaa pitkä vankeustuomio, mikäli hänet todetaan syylliseksi epäiltyihin rikoksiin, arvioi rikosoikeuden professori Matti Tolvanen.
Kivimäkeä epäillään törkeästä tietomurrosta, törkeän kiristyksen yrityksestä ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.
– Mitä todennäköisimmin mikään muu kuin ehdoton vankeusrangaistus ei tule kysymykseen [jos Kivimäki tuomitaan kaikista syytekohdista], Tolvanen sanoo.
Rikokset, joista Kivimäkeä epäillään, ovat hyvin vakavia, sanoo Tolvanen.
– Törkeä tietomurto edellyttää, että se tehdään erityisen suunnitelmallisesti tai osana järjestäytyneen rikollisuuden toimintaa. Törkeässä kiristyksessä on tässä tapauksessa kysymys siitä, että on käytetty ihmisten erityistä haavoittuvuutta ja riippuvaista asemaa hyväksi. Kun nämä summaa yhteen, niin kysymys on kyllä erittäin moitittavasta rikoksesta, Tolvanen sanoo.
Törkeän kiristyksen maksimituomio on neljä vuotta vankeutta, törkeän kiristyksen kolme vuotta vankeutta ja törkeän yksityiselämää loukkaavan tiedon levittämisen kaksi vuotta vankeutta.
Tuomioiden pituuksia kuitenkin lyhentää se, että kyse on vain yrityksistä, ei toteutuneista teoista.
– Laskeskelin, että teoreettinen maksimi on viisi vuotta vankeutta, jos nämä kaikki syyksiluetaan, Tolvanen sanoo.
Tolvanen korostaa, että kyse on vasta rikosepäilyistä.
Otettiin kiinni Ranskassa, nyt Vantaan vankilassa
25-vuotias Kivimäki otettiin kiinni Ranskassa helmikuun alussa, ja hänet tuotiin Suomeen perjantaina. Nyt hän on Vantaan vankilassa, ja vangitsemisoikeudenkäynti asiasta käydään tiistaina.
Tomi Engdahl says:
Vastaamon tietomurrosta epäilty Julius Kivimäki tuotiin Suomeen
Kivimäen epäillään olevan psykoterapiakeskus Vastaamon tietomurron takana.
https://www.iltalehti.fi/kotimaa/a/f8a74968-1ef7-480e-ad06-7ac8a008b403
Tomi Engdahl says:
Vastaamon tietomurrosta epäilty Julius Kivimäki saapui oikeuteen hymyilevänä – vitsaili parturikäynnistä https://www.is.fi/digitoday/art-2000009420847.html
Tomi Engdahl says:
Syyttäjä vaatii Vastaamon ex-toimitusjohtajalle vankeutta – IS seuraa https://www.is.fi/digitoday/art-2000009424954.html
HELSINGIN käräjäoikeus aloittaa tänään torstaina psykoterapiakeskus Vastaamon entisen toimitusjohtajan Ville Tapion saaman syytteen käsittelyn.
Ilta-Sanomat seuraa kello 9 alkavaa oikeudenkäyntiä tässä artikkelissa.
Syyttäjä vaatii Tapiolle rangaistusta tietosuojarikoksesta. Epäilyn mukaan Tapio olisi käsitellyt henkilötietoja niin huolimattomasti, että kymmenien tuhansien asiakkaiden arkaluonteisia tietoja pääsi vuotamaan ulkopuolisille.
Ville Tapio on itse sanonut Vastaamon tietoturvan olevan kunnossa, ja potilastietojen olleen moninkertaisten ohjelmisto- ja laitteistopohjaisten suojauksen takana.
Vastaamoon kohdistui tietomurto marraskuussa 2018 ja maaliskuussa 2019. Poliisin mukaan Tapio ja yhtiön it-osasto olivat välittömästi tietoisia jälkimmäisestä tietomurrosta.
MURROT tulivat julkisuuteen, kun tuntematon kiristäjä alkoi julkaista Vastaamon potilastietoja. Kaikkiaan yli 33 000 Vastaamon asiakkaan henkilö- potilas- ja terveystiedot varastettiin ja julkaistiin pimeässä Tor-verkossa. Myös uhrien luottotietoja oli käytetty väärin.
Tietomurtojen tekijäksi epäilty 25-vuotias Julius Kivimäki vangittiin Länsi-Uudenmaan käräjäoikeudessa tiistaina 28. helmikuuta. Syytteennoston määräpäivä on 18. lokakuuta.
Poliisi epäili alun perin myös kahta muuta Vastaamon tietoturvasta vastannutta it-työntekijää rikoksesta. Heidän mukaansa tietoturva ei ollut riittävällä tasolla ja lisäksi Tapio käsi heidän vaieta tietomurrosta. Syyttäjä päätti kuitenkin olla nostamatta syytteitä heitä vastaan.
Ilta-Sanomien aiemmin kertoneiden tietojen perusteella Vastaamon tietoturva oli ollut retuperällä jo vuosia. Erään todistajan mukaan yhtiön tietoturvaohjelmistot ja palomuurit toimivat minimitasolla.
It-arkkitehtuurin kannalta kriittinen järjestelmä oli esimerkiksi laiton versio.
– Lähinnä hankittiin ilmaisia työkaluja, muun muassa virtualisointialusta oli piraattiversio, ilman ostettua lisenssiä, todistaja sanoi.
VASTAAMON ex-toimitusjohtaja Ville Tapio ja hänen vanhempansa myivät yhtiön keväällä 2019 Intera Partnersille.
Käräjäoikeus määräsi Vastaamon konkurssiin helmikuussa 2021. Maaliskuussa se myös määräsi yhtiön aiempien omistajien omaisuutta takavarikkoon liki 10 miljoonan euron edestä.
Takavarikkoa haki Intera Partnersin hallintayhtiö PTK Midco, joka vaatii yrityskaupan purkua. MTV:n tietojen mukaan asia käsiteltiin siviilikanteena välimiesoikeudessa, jonka päätöksellä Tapiot maksoivat Intera Partnersille 8 miljoonan euron vahingonkorvaukset.
Tomi Engdahl says:
Vastaamon ex-toimitusjohtajan puolustus sysäsi syyt tietomurrosta IT-osaston niskaan – ”Järjetön virhe” päästi hakkerin sisään https://www.is.fi/digitoday/art-2000009428490.html
Ville Tapion puolustuksen mukaan vastuu IT-asioista oli delegoitu kahdelle palkatulle työntekijälle.
Syyttäjä Pasi Vainion mukaan Tapio oli joko tahallaan tai törkeästä huolimattomuudesta laiminlyönyt Vastaamon tietoturvan, tietosuojan ja yrityksen hallussaan pitämien henkilötietojen käsittelyn turvallisuuden.
Lopputuloksena kymmenien tuhansien asiakkaiden arkaluonteisia tietoja pääsi vuotamaan ulkopuolisille hakkerin iskettyä Vastaamon tietojärjestelmiin.
Syyttäjän mukaan Tapio oli yrityksen toimitusjohtajana viime kädessä vastuussa siitä, että tietojärjestelmät ja niiden suojaukset olisivat olleet riittävällä tasolle. Vainio kuvaili Tapion olleen ”syvällä” Vastaamon IT-asioissa.
Vastaamoon kohdistui tietomurto marraskuussa 2018 ja maaliskuussa 2019.
Vastaamon panostuksista tietoturvaan kertoi syyttäjän mukaan karua kieltä esimerkiksi se, että yrityksen toimintakertomuksissa järjestelmän kehittämiseen käytettiin vuosina 2016–2018 yhteensä noin 400 euroa. Lisäksi syyttäjä soimasi yrityksen palomuurien tilaa.
– Palomuuri ei kontrolloinut liikennettä palvelimelle millään tavalla, vaan se päästi kaiken liikenteen läpi, Vainio sanoi.
SYYTTÄJÄ ja Tapion puolustus olivat oikeudenkäynnissä yhtä mieltä lähinnä Tapion asemasta Vastaamon toimitusjohtajana.
Sen sijaan näkemykset erosivat merkittävästi siinä, mitä tuli Tapion asemaan tietoturvasta, tietosuojasta ja henkilötietojenkäsittelystä vastuussa olevana johtajana. Syyttäjän mukaan Tapio oli näistä vastuussa, mutta puolustus käytännössä sysäsi kaiken vastuun kahden Vastaamon IT-työntekijän harteille.
Syyttäjä teki jo aiemmin päätöksen olla syyttämättä heitä, mutta heitä kuullaan myöhemmin oikeudenkäynnissä todistajina.
Tapion asianajaja Liina Kokon mukaan IT-työntekijät jättivät Tapion pimentoon ja ryhtyivät myöhemmin syyllistämään häntä tapahtuneesta.
– He eivät kertoneet Ville Tapiolle murrosta ja siitä, että joku on sotkenut tietokannan ja siitä, että potilastietokantapalvelimelle oli jätetty kiristysviesti.
Syyllistäminen meni puolustuksen mukaan niin pitkälle, että toinen työntekijöistä toimitti poliisille itsensä ja Tapion välisiä, puolustuksen peukaloiduiksi väittämiä keskusteluja.
Tietomurron käytyä ilmi Tapio ehdotti ulkopuolisen asiantuntija-avun hankkimista, mutta IT-osaston työntekijät kieltäytyivät siitä. Tapion käsityksen mukaan IT-väki toimi Tapiota vastaan siksi, että he tiesivät murron johtuneen heidän omasta, ”järjettömästä virheestään”.
TYÖNTEKIJÄT olivat avanneet Vastaamon palvelimelle julkisen tietoliikenneportin ja unohtaneet sen auki peräti puoleksitoista vuodeksi. Tietomurron tehnyt henkilö pääsi Vastaamon tietoihin käsiksi tämän portin kautta.
Oikeudenkäynnin tauolla syyttäjä Vainio kertoi syyttäjien vaativan Tapiolle vankeusrangaistusta, mutta hän ei ottanut kantaa rangaistuksen pituuteen. Kirjallisessa haastehakemuksessaan syyttäjät esittävät, että Tapio on tuomittava tuntuvaan sakkorangaistukseen tai ehdolliseen vankeusrangaistukseen.
Tomi Engdahl says:
Vastaamon tietoturvakatastrofi: Ylläpitäjän tunnuksella ei salasanaa, palomuuri päästi läpi kaiken nettiliikenteen https://www.is.fi/digitoday/tietoturva/art-2000009428672.html
PSYKOTERAPIAKESKUS Vastaamon asiakasrekisterin ylläpitäjän käyttäjätunnuksella ei ollut salasanaa lainkaan, ja rekisterin hallintaan käytetyn vastaamo-käyttäjätunnuksen salasana oli skuja66.
Pääkäyttäjäksi pääsi kirjautumalla palvelimelle toisena käyttäjänä ja sen jälkeen vaihtamalla itsensä pääkäyttäjäksi ilman erillistä salasanakyselyä. Tämä salasanajärjestely oli ollut voimassa Vastaamossa vuodesta 2012 asti. ASIAT käyvät ilmi tänään julkiseksi tulleesta Keskusrikospoliisin esitutkintapöytäkirjasta, joka liittyy Vastaamon entiseen toimitusjohtaja Ville Tapioon kohdistuvaan tietosuojarikosepäilyyn
Tomi Engdahl says:
Mikä oli Ville Tapion IT-ymmärrys? 5 avointa kysymystä Vastaamosta – oikeudessa kuultiin hämmästyttäviä väittämiä https://www.is.fi/digitoday/tietoturva/art-2000009428901.html
Tomi Engdahl says:
Näin naurettava salasana suojasi tuhansia potilastietoja – ”Ollaan ihan kusessa”
https://www.iltalehti.fi/digiuutiset/a/570fb111-a558-486f-bc14-74f7f22f4ff4
Poliisin esitutkintamateriaali paljastaa, mikä Vastaamon tietoturvassa oli pielessä.
Psykoterapiakeskus Vastaamon tietoturvassa oli useita ja merkittäviä puutteita. Keskusrikospoliisin esitutkinnassa selvisi, että ulkopuolinen hyökkääjä käytti hyväkseen tietoturvapuutteita, ja sai näin haltuunsa kymmenien tuhansien suomalaisten arkaluontoisia potilastietoja.
Hakkeri vei Vastaamon potilastiedot todennäköisesti jo vuonna 2018. Maaliskuussa 2019 ulkopuolinen vieraili jälleen tietokannalla. Tuolloin potilastiedot sotkettiin tai tuhottiin, ja Vastaamolle jätettiin kiristysviesti.
Normaalisti potilastiedot olivat suljetun yhteyden takana, mutta loppuvuonna 2017 toinen IT-työntekijöistä pyysi avaamaan tietoliikenneportin. Portti oli avoinna puolitoista vuotta.
Portti suljettiin maaliskuussa 2019. Kaksi päivää myöhemmin Vastaamolle selvisi, että ulkopuolinen taho on sotkenut potilastiedot ja lähettänyt ensimmäisen kiristysviestin.
Seuraavan kerran Tapio ja kaksi IT-työntekijää saivat kiristysviestin syyskuussa 2020. Kiristäjä uhkasi julkaista tiedot internetissä, ellei Vastaamo suostuisi kiristäjän vaatimuksiin.
Vastaamo teki asiasta rikosilmoituksen. Pian yli 30 000 suomalaisen arkaluontoiset tiedot julkaistiin pimeässä tor-verkossa.
Syyttäjä vaatii entiselle toimitusjohtaja Ville Tapiolle vankeusrangaistusta tietosuojarikoksesta. Kahden IT-työntekijän osalta syyttäjä teki jo aiemmin syyttämättäjättämispäätöksen.
Itse tietomurrosta epäillään Aleksanteri Kivimäkeä, joka on aiemmin käyttänyt etunimeä Julius. Rikostutkinta asiasta on kesken.
Tomi Engdahl says:
Vastaamon IT-työntekijät tiesivät murrosta – näistä syistä heitä vastaan ei nostettu syytettä https://www.is.fi/digitoday/tietoturva/art-2000009438555.html
Vastaamoon kohdistui useampi tietomurto. Selvitysten mukaan kolmen vuoden aikana tietoturvapoikkeamia oli peräti 40.
Yhdessä näistä murroista varastettiin Vastaamon asiakasrekisteri, jota käytettiin myöhemmin kiristykseen ja jonka kiristäjä julkaisi myöhemmin verkossa.
Tapion lisäksi murroista tiesivät Vastaamon tietosuojavastaava ja järjestelmäarkkitehti MM sekä järjestelmäarkkitehti NN. Heitä vastaan syyttäjä ei kuitenkaan nostanut syytettä.
Keskusrikospoliisi kuuli tutkinnan aikana molempia epäiltynä tietosuojarikoksesta.
Julkisuudessa on ollut jo aikaisemmin esillä tieto siitä, että Vastaamon asiakasrekisterin sisältäneen tietokantapalvelimen tietoliikenneportti 3306 oli auki internetiin noin puolentoista vuoden ajan mitä ilmeisimmin huoltotöiden seurauksena.
NIXUN raportin mukaan Vastaamon tietojärjestelmässä oli vielä lokakuussa 2020 merkittäviä puutteita. Potilastietokantaan oli tallennettu asiakkaiden henkilötietoja ja käyntimerkintöjä ilman salausta muodossa, jossa henkilötiedot ja käyntimerkinnät olivat yhdistettävissä toisiinsa. Lisäksi puutteita oli potilasrekisterin palomuurisuojauksessa, ylläpitotunnusten käytössä ja hallinnoinnissa sekä salasana- ja kirjautumiskäytännössä, vpn-yhteyksien toteuttamisessa, palvelimien eriyttämisessä, tietoturvapäivityksissä, tietoturvan seurannassa ja auditoinnissa.
Tomi Engdahl says:
Vastaamon IT-työntekijät tiesivät murrosta – näistä syistä heitä vastaan ei nostettu syytettä https://www.is.fi/digitoday/tietoturva/art-2000009438555.html
“Vastaamoon kohdistui useampi tietomurto. Selvitysten mukaan kolmen vuoden aikana tietoturvapoikkeamia oli peräti 40.”
Tomi Engdahl says:
määriä, mutta muuten tietoturva kiinnosti toimitusjohtaja Tapiota vähän
https://www.hs.fi/kotimaa/art-2000009453551.html
Työntekijöiden mukaan Vastaamon toimitusjohtaja Ville Tapio ei halunnut käyttää rahaa yrityksen tietoturvan parantamiseen. Tietosuojarikoksesta syytetty Tapio pitää it-työntekijöitä syypäinä Vastaamon tietoturvaongelmiin
PSYKOTERAPIAKESKUS Vastaamoa koskevassa oikeudenkäynnissä kuultiin tiistaina kahta yrityksen entistä it-työntekijää, joita entinen toimitusjohtaja Ville Tapio on syyttänyt yrityksen tietoturvaongelmista.
Paikan päällä Helsingin käräjäoikeudessa oli vain toinen ex-työntekijöistä. Toisella heistä oli este saapua oikeuteen, joten salissa luettiin hänen esitutkintakertomuksensa.
Salissa todistanut työntekijä sanoi, että Vastaamon potilastietorekisterin tietoturva oli hyvin heikko ja tietoturvasta ja siihen liittyvistä riskeistä puhuttiin ylipäänsä vähän.
”Muistaakseni suurimpana riskinä tunnistettiin, että jos terapeutti lähtee pois Vastaamolta ja avaa oman klinikan, hän voisi tulostaa kaikki potilastiedot mukaansa. Tämän perusteella rakennettiin tulosteiden lokivalvontaa”, mies kertoi.
TAPIO on syytettynä tietosuojarikoksesta, koska syyttäjän mukaan Tapio laiminlöi Vastaamon tietoturvasta huolehtimisen ja antoi viranomaisille vääriä tietoja yritykseen keväällä 2019 kohdistuneesta tietomurrosta.
Tapio kiistää syytteen täysin. Hänen puolustuksensa mukaan Vastaamon tietoturvasta vastasivat kaksi it-työntekijää, ei Tapio itse.
Oikeudessa kuultu työntekijä kiisti tämän.
”Meitä oli kaksi kaveria nollasoppareilla ja työtehtävämme olivat hyvin sekalaisia. Pääosin kaikki työaika meni ylläpitoon, uusien toimipisteiden avaamiseen ja kasvun tukemiseen, kun henkilöstömäärä lisääntyi.”
Työntekijä sanoi esittäneensä parannuksia Vastaamon tietoturvaan, mutta hänen mukaansa Tapio ei halunnut käyttää sellaiseen rahaa.
”Yksi asia, mitä pyöriteltiin moneen kertaan, oli F-Securen lisenssin hankinta. Oli muitakin hankkeita ja tietoturvasta lähetettiin tarjouspyyntöjä, mutta ne vain kuolivat. Tapio ei koskaan hyväksynyt eikä allekirjoittanut [hankintoja], eikä sitä voinut kukaan muukaan tehdä.”
Myös toinen työntekijä kertoi esitutkinnassa, että esimerkiksi verkkoyhteyksien suojaa parantaviin VPN-palveluihin ei saatu lisenssejä, koska ne maksoivat. Tapio torppasi myös monia muita asioita, koska niihin olisi pitänyt käyttää rahaa, mies kertoi poliisille.
It-työntekijöitä epäiltiin esitutkinnassa tietosuojarikoksesta Tapion ohella. Syyttäjä jätti kuitenkin syytteet nostamatta, koska hänen mukaansa heidän syyllisyytensä tueksi ei ollut todennäköisiä syitä.
TAPIO kiistää tienneensä syytteessä kyseessä olevasta maaliskuun 2019 tietomurrosta tapahtuma-aikaan. Tapion mukaan it-työntekijät antoivat hänelle vääriä tietoja, minkä takia hän sanoi ilmoituksissa Valviralle, että kyseessä oli ollut huoltokatko ja huollossa tapahtunut virhe.
Puolustus sanoo, että yrityksen tietojärjestelmä olisi oikein käytettynä ollut turvallinen ja työntekijät yrittävät vierittää vastuuta omista virheistään Tapiolle.
Puolustuksen mukaan tietoturvaongelmien takana oli se, että työntekijät avasivat marraskuussa 2017 Vastaamon tietojärjestelmän suojaukset ja tietokantaportin internetiin ja jättivät sen auki.
Tapiota kuultiin oikeudessa viime perjantaina, jolloin hän sanoi, että työntekijät olivat tehneet “käsittämättömiä virheitä”.
SYYTTÄJÄ sanoo, että Tapio tiesi maaliskuun 2019 tietomurrosta ja Vastaamon tietoturvan huonosta tasosta. Syyttäjän mukaan motiivina salailuun oli turvata tuleva yrityskauppa.
”Jälkikäteen olen ajatellut, että Villellä varmaan oli tiedossa tuleva Interan kauppa, josta meillä ei ollut mitään hajua. Olisihan se ollut vähän huono, menisi kauppa sivu suun”, mies sanoi.
KESKUSRIKOSPOLIISIN (Krp) esitutkinnan aikana selvisi, että Vastaamolla oli tapahtunut useita tietomurtoja ja muita tietoturvapoikkeamia. Krp:n mukaan Vastaamon tietoturvaa paranneltiin vuosien varrella jonkin verran, mutta ongelmat eivät poistuneet.
”Vastaamolle lokakuussa 2020 tietoturvaa parantamaan palkatut asiantuntijat ovat kuvanneet Vastaamon tietoturvaa erityisen heikoksi, huonoksi ja alkeelliseksi sekä Vastaamon tapaa huolehtia tietoturvasta suhteessa heidän hallinnoimansa tiedon arkaluonteisuuteen selkeästi puutteelliseksi ja erittäin heikoksi”, esitutkintapöytäkirjassa sanottiin.
Krp:n mukaan potilastietokannan käyttäjätunnuksen salasana on ollut seitsemän merkkiä pitkä ja selkokielinen. Se ei ole sisältänyt isoja kirjaimia tai erikoismerkkejä, ja se oli ollut käytössä vuodesta 2012.
TIETOSUOJARIKOKSESTA voidaan tuomita sakkoja tai enintään vuosi vankeutta. Syyttäjä on kertonut vaativansa Tapiolle rangaistukseksi ehdollista vankeutta, mutta ei ole kommentoinut sen määrää.
Vastaamoon kohdistunut epäilty törkeä tietomurto on vielä esitutkinnassa. Siitä epäiltynä on vangittu 25-vuotias mies.
Tomi Engdahl says:
40 Vastaamon tietomurron uhria kertoi Ylelle, mikä kaikki rikosprosessissa on mennyt pieleen
https://yle.fi/a/74-20022574
Tietomurron uhrit kertoivat Ylen kyselyssä, että rikosprosessi on ollut epäselvä. Yksi uhreista arvioi, että jotkut eivät välttämättä tiedä olevansa rikoksen uhreja
Tomi Engdahl says:
Vastaamon ex-toimitusjohtaja tuomittiin tietosuojarikoksesta ehdolliseen vankeuteen
Helsingin käräjäoikeus on antanut tuomionsa koskien Psykoterapiakeskus Vastaamon ex-toimitusjohtaja Ville Tapion tietosuojavastuuta.
https://www.hs.fi/kotimaa/art-2000009526038.html
Syyttäjän mukaan ulkopuolinen taho murtautui maaliskuussa 2019 Vastaamon potilastietokantaan, sotki tietokannan ja jätti kiristysviestin. Tapion syyte liittyy maaliskuun 2019 tietomurtoon ja sen jälkeiseen aikaa syksylle 2020 asti.
Syyttäjien mukaan Tapion toiminnasta ja laiminlyönneistä johtuen Vastaamolla oli pidemmän aikaa puutteellinen tietototurva sekä sen organisoinnin että käytännön suojauksien tasolla.
Potilastietojen vaarantuminen tuli viranomaisten tietoon vasta syyskuussa 2020 Vastaamoon kohdistuneen kiristyksen jälkeen. Samana syksynä tietomurto tuli myös julkisuuteen.
Tomi Engdahl says:
Vastaamon ex-toimitusjohtaja Ville Tapiolle tuomio tietosuojarikoksesta
https://yle.fi/a/74-20027598
Helsingin käräjäoikeus on tuominnut Vastaamon entisen toimitusjohtajan Ville Tapion kolmen kuukauden ehdolliseen vankeusrangaistukseen tietosuojarikoksesta. Oikeuden mukaan Tapio syyllistyi tietosuojarikokseen, kun hän ei toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta. Muilta osin syyte hylättiin
Tomi Engdahl says:
Tavanomainen IT-alan toimenpide vuonna 2017 avasi useammalle hakkerille leikkikentän, jossa he saivat rauhassa rellestää reilun vuoden päivät ennen kuin asia huomattiin. Internetiin auki jäänyt tietokannan portti 3360 suljettiin, mutta aivan liian myöhään.
Kuuntele Kyberrosvot-podcastin toinen jakso – kylmäävä rikostarina Psykoterapiakeskus Vastaamon tietomurrosta, joka vaikuttaa vielä tänäkin päivänä kymmenien tuhansien ihmisten elämään.
Kuuntele nyt!
https://www.dna.fi/yrityksille/kyberrosvot-podcast?fbclid=IwAR00kQFsEy7_pSAW5ZRFDlF7AUCxQwSa7QX-uJjLA5UCCRhYhdcS0pcrIGM_aem_AY8wooF8XAm67Rh_wiARKAFvUMKKW4qMdPXWbyfjMyd1m5lQ4By-cnRe3QC9ZzySQtkZRFouK86Z01oMgpAl3zD_I2o2Yzr5lgXiT4E_PuQX3nT1ImHGCi_N9wJjPqBjsx4#vastaamo?utm_source=facebook&utm_medium=linkad&utm_content=ALL-podcast-kyberrosvot-podcast#vastaamo&utm_campaign=T_ALL_ALL_23-17-17_kyberrosvot
Tomi Engdahl says:
Vastaamon tietomurron esitutkinta valmistuu kesällä – Uhreja yhä kateissa
Vyyhdissä on yli 30 000 uhria, arvioi keskusrikospoliisi.
https://www.iltalehti.fi/digiuutiset/a/01fea0e9-4f59-4ecd-b0e6-c6cce2ddc6ea
Psykoterapiakeskus Vastaamon tietomurtoon liittyvä laaja esitutkinta on valmistumassa loppukesästä, kertoo keskusrikospoliisi.
Poliisi epäilee 25-vuotiasta Aleksanteri Tomminpoika Kivimäkeä törkeästä tietomurrosta, törkeästä yksityiselämää loukkaavan tiedon levittämisestä ja törkeästä kiristyksen yrityksestä. Mies tunnetaan myös nimellä Julius Kivimäki.
Vastaamon vyyhti on poikkeuksellisen laaja rikoskokonaisuus, joka koskettaa kymmeniä tuhansia suomalaisia. Poliisin arvion mukaan uhreja on yli 30 000.
Esitutkinta alkoi syksyllä 2020
Poliisi kerää uhreilta tiedot sähköisesti
Rikosasiassa on poikkeuksellisen paljon uhreja, joista osaa poliisi ei ole edelleenkään tavoittanut. Noin 24 000 uhria on tehnyt asiasta rikosilmoituksen, ja poliisin pitäisi tarjota heille kaikille mahdollisuus tulla kuulluksi.
Vain noin 8600 ihmistä on antanut lausumansa sähköisesti ja poliisi toivoo, että useampi tekisi sen. Lisäksi poliisi toivoo, että tuhannet oletetut uhrit tekisivät vielä rikosilmoituksen.
Poliisin mukaan lausumat tarvitaan 31. toukokuuta mennessä.
Poliisilla ei ole oikeutta selvittää uhreja vuotaneesta potilastietokannasta. Siksi uhreilta kaivataan omaa aktiivisuutta.
Tomi Engdahl says:
Vastaamolta heruu uhreille 90 euroa saattaa jäädä lopulliseksi
korvaukseksi: Röyhkeyden huippu
https://www.is.fi/digitoday/art-2000009608822.html
Konkurssiin ajautuneen Psykoterapiakeskus Vastaamon uhrit saavat ensi alkuun kukin 90,14 euron korvauksen. Summan vahvistaa konkurssipesää hoitava asianajaja Nina Aganimov. 90,14 eurossa on kyse niin sanotusta ennakkojako-osuudesta, joka perustuu aiemmin määriteltyyn 2500 euron enimmäiskorvaukseen uhria kohden. Uhrit, jotka ovat hyväksyneet tämän
2500 euroa, saavat tässä vaiheessa siitä noin 3,6 prosentin osuuden
Tomi Engdahl says:
Vastaamon tietomurron uhreja huijausyrityksen kohteena – sähköpostilla tarjotaan runsaan 230 euron ”asumistukea”
https://yle.fi/a/74-20037736
Vastaamon tietomurron uhreille on lähetetty sähköposti, jossa heille ilmoitetaan runsaan 230 euron ”asumistuesta”. Suomi.fi-sivuston nimissä tehdylle huijaussivustolle vievää linkkiä ei tule avata.
Tomi Engdahl says:
Poliisi: Vastaamon tietomurrossa oli 33 086 uhria https://www.is.fi/digitoday/art-2000009757607.html
POLIISIN esitutkintakokonaisuus Psykoterapiakeskus Vastaamoon kohdistuneesta tietomurrosta ja arkaluontoisten potilastietojen levittämisestä on valmistumassa.
Esitutkintakokonaisuus siirtyy syyttäjälle syyteharkintaan 1.9. mennessä.
Poliisi on onnistunut alkukesän aikana selvittämään kaikkien Vastaamo-asiakokonaisuuteen kuuluvien uhrien henkilötiedot. Tiedot on poliisin mukaan saatu myöhään keväällä kansainvälisen oikeusapupyynnön avulla.
Tomi Engdahl says:
Vastaamo-tietomurrosta epäiltyä Julius Kivimäkeä epäillään 14 151 uudesta rikoksesta https://www.is.fi/digitoday/art-2000009874322.html
IS:n tietojen mukaan Aleksanteri Kivimäen (julkisuudessa tunnettu aiemmin nimellä Julius Kivimäki) epäillään tunkeutuneen Vastaamon lisäksi 14 151 muuhun tietojärjestelmään.
EPÄILLYT tietomurrot tapahtuivat samaan aikaan kuin Vastaamo-tietomurto marraskuussa 2018.