Finland

16 000 suomalaisen henkilötiedot varastettiin 2011 – rikosta tutkineiden mukaan Vastaamon tietomurrossa on sekä samoja että ihan uusia piirteitä

Lauantai 5. marraskuuta 2011 oli jo ehtinyt iltapäivään, kun KRP:n silloisen tietotekniikkajaoston päällikön, rikoskomisario Timo Piiroisen, ruuanlaitto keskeytyi puhelinsoittoon.

Päällystöpäivystäjä ilmoitti, että miestä tarvitaan töihin. Internetin Mediafire-sivustolla oli julkaistu tiedosto, joka sisälsi vähintään 16 000 suomalaisen henkilötiedot.

Eri-ikäisten, eri aloilla työskentelevien ja ympäri Suomen asuvien ihmisten henkilötunnukset, osoitteet, puhelinnumerot ja sähköpostiosoiteet olivat kenen tahansa nettiä käyttävän löydettävissä ja luettavissa.

Tapaus on palannut vahvasti silloisen tutkinnanjohtajan mieleen Vastaamo-tietomurron paljastuttua lokakuussa 2020.

Psykoterapiakeskus Vastaamon palvelimelta lähti varkaiden matkaan tuhansien asiakkaiden arkaluontoisia tietoja heidän terapastaan. Niiden julkaisulla on myös kiristetty uhreja.

– Silloin ei ihmisistä viety sellaista tietoa kuin Vastaamon tapauksessa, mutta henkilötunnusten varastaminen mahdollisti petokset, kertoo nykyisin KPMG yhtiön forensic-palveluiden johtajana toimiva Piiroinen.

Henkilötiedoilla ei myöskään yritetty kiristää rahaa, vaan ne vain julkaistiin verkkoon.

Kissa – hiiri -leikkiä

Piiroinen tiimeineen alkoi selvittää, mistä tiedot olivat peräisin, ja miten niihin oli päästy käsiksi.

Tärkeintä oli saada selville kuka tai ketkä tiedot varasti ja julkaisi internetissä. Myös rekisterinpitäjien vastuu kiinnosti.

Kysymykset olivat samoja kuin nyt Vastaamon tutkinnassa.

– Aikaisemmin oli ollut jo pienempiä henkilötietoihin liittyviä varkauksia, mutta tämä oli Suomen ensimmäinen näin suuri, Piiroinen muistelee.

Liikenne- ja viestintävirasto sai nopeasti virka-apupyynnön poliisilta.

Viraston kyberturvallisuusosasto CERT-FI:n silloinen päällikkö Erka Koivunen kertoo, että ensimmäinen viikko paiskittiin ympärivuorokautisia päiviä.

Erka Koivunen

Erka Koivunen kertomassa 7.11.2011 Ylen aamussa kaksi päivää aikaisemmin tapahtuneesta suuresta tietomurrosta.Yle

Poliisi antoi määräyksiä nimitiedostoja julkaisseiden sivustojen sulkemisesta. CERT-FI välitti tiedon kontaktiensa kautta palvelimien ylläpitäjille.

– Se oli kissa–hiiri-leikkiä. Kun yksi saitti sulkeutui, ne (tiedostot) olivat taas yhtäkkiä jossakin esillä, muistelee yhdeksän vuoden takaisia aikoja nykyinen F-Securen turvallisuuspäällikkö Erka Koivunen.

Hänen mukaansa viestintävirasto sai heti alkumetreillä lukuisia vihjeitä ”valkohattu-hakkeriyhteisöltä”. Muropaketti- ja Ylilauta-sivustojen hakkerit löysivät nopeasti yhteyden Työtehoseuraan.

Selvisi, että tietovuoto liittyi laajemminkin aikuis-ja täydennyskoulutukseen.

Ainakin myös Itä-Suomen yliopiston avoimen yliopiston ja Suomen Opiskelijat Allianssin tietokantoihin oli tunkeuduttu.

Petoksia varastetuilla henkilötiedoilla

5. marraskuuta 2011 tapahtunut tietojen varastaminen oli nopeasti yleisön huulilla.

Yhtä kova tiedonjano on myös lokakuussa 2020. Nyt Vastaamon tietomurron uhreille on julkaistu ohjeita, miten toimia, kun varkaat iskevät henkilökohtaisiin tietoihin.

Yhdeksän vuotta sitten viestien sävy oli toinen. Ylen uutisjutuissa viestintäviraston ja poliisin mielestä uhreilla ei ollut suurempaa syytä huoleen.

Kuitenkin jo seuraavalla viikolla KRP kertoi, että vuodettuja henkilötunnuksia oli käytetty rikoksiin. Ihmisiä neuvottiin tekemään rikosilmoituksen, jos he saisivat laskuja palveluista, joita eivät olleet hankkineet.

Vuosien kuluessa petoksia tehtiin lisää.

Yle kertoi vuonna 2017 Jarista, jolle soitettiin kuusi vuotta tietojen varastamisen jälkeen. Hänen nimissään oli tilattu MacbookPro -tietokone ja kolme kallista iPhonea. Myyjä halusi varmistaa, oliko mies varmasti tilannut tavarat.

Poliisi ei Jarin mukaan ottanut häntä todesta, ja siksi hän jätti rikosilmoituksen tekemättä.

Lue seuraavaksi: Joku julkaisi 16 000 suomalaisen henkilötunnukset netissä kuusi vuotta sitten – nyt niillä tehtaillaan tuhansia rikoksia vuodessa

– Mitään tarkkaa tilastointia tai seurantaa ei ole tehty, mutta henkilöiden tietoja on käytetty, kertoo Timo Piiroinen.

Moni suomalainen halusi heti tietää, löytyykö oma nimi varastettujen henkilötietojen joukosta. Viestintävirasto toppuuteli: Älkää yrittäkö etsiä tietovuotolistaa itse.

Verkkoon ilmestyi hämäriä nimentarkistuspalveluita. Osa niistä vaati käyttäjää antamaan henkilötunnuksensa tietojen löytämiseksi.

Poliisi halusi estää lisävahinkojen syntymisen ja laati omille sivuilleen tarkistuspalvelun.

– Teimme riisutun version. Syötä syntymäaika ja etunimi ja, jos tulee osuma, kannattaa mennä poliisilaitokselle selvittämään, onko kyse omista tiedoista, Piiroinen kertoo.

Poliisin verkkosivut kaatuivat välittömästi yleisöryntäyksen takia. Piiroinen muistelee käyneensä selvittämässä kaatumista ja tutkinnan kulkua aina eduskunnan hallintovaliokuntaa myöden.

Robotti raksutti viestejä

Samaan aikaan, kun ihmiset etsivät tietojaan verkosta, viestintävirasto yritti tavoittaa jokaisen tietovuodon kohteeksi joutuneen.

– Lähetimme sähköpostitse tai tekstiviestinä ilmoituksen, että tietonne ovat päätyneet joko rikollisten haltuun tai julkiseen levitykseen, Erka Koivunen kertoo.

Tätä ennen talon omat juristit, keskusrikospoliisin edustajat ja tietosuojavaltuutettu olivat selvittäneet, muodostuuko uhrien auttamisen sivuotteena henkilörekisteri, jonka ylläpitämisessä tarvitaan laillinen oikeus ja syy.

– Päätös oli, että nämä ovat rikoksen kautta paljastuneita tietoja, eikä rikosta jatketa sillä, että uhreja informoidaan. Ei siis muodostu henkilörekisteriä, ja jonkunhan informointi oli tehtävä, Koivunen sanoo.

Teknisesti homma oli helppo hoitaa. Kyberturvallisuusosastolla oli ja on edelleen Autoreporter-palvelu, joka lähettää joka vuorokausi koosteita eri yhtiöiden ja varsinkin teleoperaaattoreiden verkoissa havaituista tietoturvapoikkeuksista.

Sama palvelu valjastettiin tavoittamaan myös tietoturvaloukkauksen kohteeksi joutuneet.

– Osa kuittasi, mutta ei niitä 16 000 tullut, Koivunen toteaa.

Timo Piiroinen

Suuret tietomurrot olivat 2011 Suomessa vielä harvinaisia. Timo Piiroinen johti tutkintaa, jossa pääosassa oli tiedosto nimeltään Hetudump.txt Jakke Holvas / Yle

Kukaan ei tiedä tuliko jokainen tietomurron kohteeksi joutunut edes tietämään olevansa listalla. Ei ole varmaa menikö jokainen tekstiviesti perille, tai päätyikö osa sähköposteista esimerkiksi suoraan roskapostiin.

Ketään ei tuomittu

Vuonna 2019 keskusrikospoliisista KPMG yhtiöön siirtynyt Timo Piiroinen sanoo, että rikos jäi ratkaisematta, vaikka poliisi teki kaiken voitavansa.

Kukaan ei päätynyt oikeuteen, eivätkä teon tarkoitusperät auenneet.

– Silloin puhuttiin paljon hakkeri- ja aktivistiryhmä Anonymosista ja palvelunestohyökkäyksistä. Tämä saattoi olla jonkun näyttöä, että hänkin pystyy verkossa tekemään jotakin, Piiroinen miettii.

F-Securen turvallisuusjohtajaa Erka Koivusta puolestaan turhauttaa edelleen. Kovasta työstä huolimatta ei pystytty sanomaan, kuinka monesta eri lähteestä henkilötiedot oli varastettu.

Sen näki, että asiakasrekistereitä oli niputettu yhteen.

– Rekisterit olivat siististi järjestyksessä verkkoon kytketyssä tietojärjestelmässä. Ihan samoin kuin Vastaamossakin on, Koivunen toteaa.

Hän kuvailee, miten rikolliset yhdeksän vuotta sitten käyttivät enemmän tai vähemmän automatisoitua hyökkäysskriptiä, joka pantiin koputtelemaan eri verkkopalveluiden ovia.

– Jos tuhannesta palvelusta viisikin avasi ovensa, datat imettiin sieltä talteen. Siinä ei ollut mitään suurta dramatiikkaa, eikä mainittavia murtojälkiäkään jäänyt.

Jotain samaa, jotain uuttakin

Erka Koivusen mielestä myös Vastaamon tuore tietomurto vaikuttaa aivan samanlaiselta vuosituhannen alun meiningiltä.

– Meillä ei ole ikinä ollut näin hyvää turvallisuustekniikkaa käytettävissä kuin nykyään. Mutta edelleen on mahdollista myös pystyttää huonosti suojattuja palveluita. Ja niitä korkataan automatisoidun keinoin kuten ennenkin.

Yhdeksässä vuodessa verkkorikollisuus on kuitenkin myös muuttunut.

– Tuli bitcon ja muut kybervaluutat. Nyt datasettiin tai organisaation tietotekniikkaan kiinni päässeiden rikollisten ensimmäinen ajatus on, kuinka kiristän tällä rahaa. He tietävät, että rahan kotiuttaminen jälkiä jättämättä on mahdollista, ellei tee itse virhettä, toteaa Erka Koivunen

Entä ne 16 000 suomalaisen henkilötiedot? Pääseekö niihin edelleen käsiksi?

– Varmasti. Kyllä ne löytyvät, kuittaa Koivunen.

Lue myös:

Vuotaneilla henkilötiedoilla voi tehdä tilauspetoksia ja ottaa luottoa uhrin nimiin – Asiakastieto ja Vastaamo tarjoavat tietomurron uhreille maksuttomat turvapalvelut

Football news:

Cherevchenko is the best RPL coach in November. He was ahead of Semak and Tedesco
Ronaldo on 750 career goals: Thanks to loyal opponents. You made me work harder every day
Neymar on reuniting with Messi: next year we have to do it
Scott Micromini: I hope Manchester United will win Leipzig and away
Lampard on whether Giroud will start in the Premier League: we'll See. Forward scored 4 goals for Sevilla
Lucescu after 0:3 with Juve: Dynamo is learning, getting experience and should go to the eurovesna
You can't be half-pregnant and half-make the playoffs. Tuchel on PSG's chances in the Champions League