Psykoterapiakeskus Vastaamo tietomurron kohteena

Kauhea itku ja parku oli äsken kun seuraava potilas oli odotusaulassa odottamassa vuoroaan. Ei mitään tähän verrattuna!

Samaa mieltä, että maksaa olisi pitänyt(joku tulee mut pian haukkumaan) sillä olisi ostettu aikaa ja koitettu estää näiden tietojen julkaiseminen. Nythän ei edes yritetty. Varmaan jokaisen potilaan mielestäkin tuo 450 000 olisi ollut pieni summa, jos sillä olisi estetty omien arkaluotoisten tietojen vuotaminen.

Nythän tuo hakkeri ei lopeta, ennenkuin rahansa saa, ja vahinko on jo tapahtunut.

Vierailija kirjoitti:

Olisi kiva tietää mitkä ovat kolme muuta firmaa joiden tiedot on vuotaneet/yritetty kiristää.

What??? Mikä juttu tämä on?

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Pitääpä laittaa pyyntö psykiatrille poistaa Kannasta kaikki terapiatiedot. Ennen pitkää sielläkin kuitenkin joku murtanut tiedot.

Nyt on ainakin ennakkotapaus suomalaisten tietojen kiinnostuksesta. Siitä on jo ollut useita ennakkotapauksia, että eri isojen pilvipalveluiden yksilöiden tietoja on vuodettu ja netissä on sen seurauksena lukemattomien julkkisten henkilökohtaista kuvamateriaalia. Ei isoista pilvipalveluista tietoja ongita arvaamalla salasana, vaan ammattitaidolla, kun löytyy keinot avata palvelun tietoja.

Terapiatietoja ei voi poistaa.

Terapiatietoja ei voi julkaista. Etkö tiennyt? Terapiatiedot ei ole missään kiveen kirjoitettu vaan bitteinä, joten tottakai ne voi poistaa.

Tuo poisto on varmasti helpompi toteuttaa kuin hakkerointi. Asiasta herännee keskustelua ja jos poistopyyntöjä lähtee riittävästi terapiakeskuksiin ja kansanedustajille, kyllä keinot poistaa ne löytyy äkkiä.

Potilasasiakirjoja ei voi poistaa, sillä on lakisääteinen velvollisuus tehdä potilasasiakirjat.

Mikä laki estää kansanedustajia säätämästä lakia jolla poistaa arkaluonteisia tietoja?

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Nokia maksoi joskus (en tiedä vuosilukua) miljoonan lunnaat kiristäjälle, jolla oli Symbian avain. Puolet summasta piti ohjata hyväntekeväisyyteen. Tämä tapahtui kaikessa hiljaisuudessa, eikä ole ratkennut vaikka tekijä sai puoli miljoona käteistä jonnekin tamperelaiselle parkkipaikalle. Tuo kyseinen Lataamo olisi voinut toimia samoin, koska nyt on kyse ihmishengistä! Olisi vain maksanut ne bitcoinit ja sen jälkeen laittanut tietoturvan uuteen uskoon. Kenenkään tietoja ei olisi vuodettu ja pulju olisi pysynyt pystyssä. IT-rosvoilla on kuitenkin sen verran moraalia, ettei samalla asialla kiristetä kahta kertaa.

Ei, ikinä ei saa mennä luottamaan ammattirikollisen oikeudentajuun. En tiedä mistä olet saanut tiedon siitä, että kyberrikollisilla olisi jotenkin muita rikollisryhmä korkeampi moraali? Kyseessä on hyvin usein järjestäytyneitä ammattilaisia, joiden moraaliin ei todellakaan voi luottaa.

Lunnaiden maksamisen vaikutuksesta ei ole mitään takeita. Huonossa tapauksessa lunnaiden jälkeen yritys joutuu maksamaan niitä vielä lisää, tiedot jäävät hakkerin haltuun ja yritys tulee siinä sivussa rahoittaneeksi vielä terrorismiakin.

Mielestäni menneillään oleva tilanne on pahempi. Jos sen voi yrittää estää maksamalla murto-osan yrityksen liikevaihdosta, kannattaa sitä kokeilla. Jos vaativat lisää, siinä vaiheessa voi nostaa kädet pystyyn. Tuon vajaa puoli miljoonaa saa kasaan jo sillä kun toimari pistää talonsa myyntiin. Halpa hinta ihmishengistä.

Niin kauan kun ihmiset maksavat noita rikollisten vaatimia lunnaita, niin kauan myös rikolliset jatkaa tuollaista touhua. Koskaan ei pidä antaa mitään rahoja. 

Helppo sanoa, jos itsellä ei ole henkilökohtaisesti mitään pelissä. Heti jos osuu omalle kohdalle, niin mielipide muuttuu taatusti.

Ei muuttuisi, koska kun rikollinen saa rahat, niin hän menee ja myy tiedot jollekkin toiselle, joka taas vastaavasti aloittaa uudelleen saman kiristyksen tai myy jälleen eteenpäin niille, jotka nuo tiedot haluavat omaan käyttöön.

Todella sinisilmäistä kuvitella, että rikollinen ottaisi rahat ja lopettaisi.

Onko sinulla antaa esimerkkejä tällaisesta toiminnasta?

Ei tarvitse hirveästi rikosdokumentteja seurata, että tietää näinkin yksinkertaisest asiat. Jos haluat sinisilmäisyydessäsi elää, niin siitä vaan. Rikolliset välittävät vain yhdestä asiasta ja se on raha. Ja he eivät todellakaan lopeta, jos saavat jostain rahaa lisää. 

Nyt on kyseessä ns. fiksut rikolliset, jotka nimen omaan välittää rahasta eivätkä ajattele noin lyhytjänteisesti. Jos kukaan ei noudattaisi lupauksiaan lunnaiden saamisen jälkeen, koko kiristysrikollisuus romahtaisi. Ei olisi miljardiluokan kyberrikollisuutta.

Kiristäjä on ilmeisesti taas herännyt. En tiedä milloin alla olevat viestit on kirjoitettu, mutta kiertävässä kuvakaappauksessa on seuraavat tiedot.

Anonyymi: I have informed every victim of this breach. And i will keep on doing that :) sincerely yours whitehathacker :*

ransom_man: Thank you mr. whitehathacker. We want the victims informed, it increases our chances of getting paid.

Vierailija kirjoitti:

Samaa mieltä, että maksaa olisi pitänyt(joku tulee mut pian haukkumaan) sillä olisi ostettu aikaa ja koitettu estää näiden tietojen julkaiseminen. Nythän ei edes yritetty. Varmaan jokaisen potilaan mielestäkin tuo 450 000 olisi ollut pieni summa, jos sillä olisi estetty omien arkaluotoisten tietojen vuotaminen.

Nythän tuo hakkeri ei lopeta, ennenkuin rahansa saa, ja vahinko on jo tapahtunut.

Olisiko Vastaamolla ollut yhden äkin kasassa tuota summaa? Tuskinpa tilillään on tuollaisia summia heti kättelyssä antaa, vaikka isot rahat yrityksen kautta pyöriikin. Entä saako tuollaista summaa lainaksi mistään pankista? Tietomurtokavallukseen. Paha juttu.

Olisi ne rahat jostain saatu, vieläkin ehtii maksaa. Jutun tutkiminen silti jatkuisi.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Nokia maksoi joskus (en tiedä vuosilukua) miljoonan lunnaat kiristäjälle, jolla oli Symbian avain. Puolet summasta piti ohjata hyväntekeväisyyteen. Tämä tapahtui kaikessa hiljaisuudessa, eikä ole ratkennut vaikka tekijä sai puoli miljoona käteistä jonnekin tamperelaiselle parkkipaikalle. Tuo kyseinen Lataamo olisi voinut toimia samoin, koska nyt on kyse ihmishengistä! Olisi vain maksanut ne bitcoinit ja sen jälkeen laittanut tietoturvan uuteen uskoon. Kenenkään tietoja ei olisi vuodettu ja pulju olisi pysynyt pystyssä. IT-rosvoilla on kuitenkin sen verran moraalia, ettei samalla asialla kiristetä kahta kertaa.

Ei, ikinä ei saa mennä luottamaan ammattirikollisen oikeudentajuun. En tiedä mistä olet saanut tiedon siitä, että kyberrikollisilla olisi jotenkin muita rikollisryhmä korkeampi moraali? Kyseessä on hyvin usein järjestäytyneitä ammattilaisia, joiden moraaliin ei todellakaan voi luottaa.

Lunnaiden maksamisen vaikutuksesta ei ole mitään takeita. Huonossa tapauksessa lunnaiden jälkeen yritys joutuu maksamaan niitä vielä lisää, tiedot jäävät hakkerin haltuun ja yritys tulee siinä sivussa rahoittaneeksi vielä terrorismiakin.

Mielestäni menneillään oleva tilanne on pahempi. Jos sen voi yrittää estää maksamalla murto-osan yrityksen liikevaihdosta, kannattaa sitä kokeilla. Jos vaativat lisää, siinä vaiheessa voi nostaa kädet pystyyn. Tuon vajaa puoli miljoonaa saa kasaan jo sillä kun toimari pistää talonsa myyntiin. Halpa hinta ihmishengistä.

Niin kauan kun ihmiset maksavat noita rikollisten vaatimia lunnaita, niin kauan myös rikolliset jatkaa tuollaista touhua. Koskaan ei pidä antaa mitään rahoja. 

Helppo sanoa, jos itsellä ei ole henkilökohtaisesti mitään pelissä. Heti jos osuu omalle kohdalle, niin mielipide muuttuu taatusti.

Ei muuttuisi, koska kun rikollinen saa rahat, niin hän menee ja myy tiedot jollekkin toiselle, joka taas vastaavasti aloittaa uudelleen saman kiristyksen tai myy jälleen eteenpäin niille, jotka nuo tiedot haluavat omaan käyttöön.

Todella sinisilmäistä kuvitella, että rikollinen ottaisi rahat ja lopettaisi.

Onko sinulla antaa esimerkkejä tällaisesta toiminnasta?

Ei tarvitse hirveästi rikosdokumentteja seurata, että tietää näinkin yksinkertaisest asiat. Jos haluat sinisilmäisyydessäsi elää, niin siitä vaan. Rikolliset välittävät vain yhdestä asiasta ja se on raha. Ja he eivät todellakaan lopeta, jos saavat jostain rahaa lisää. 

Nyt on kyseessä ns. fiksut rikolliset, jotka nimen omaan välittää rahasta eivätkä ajattele noin lyhytjänteisesti. Jos kukaan ei noudattaisi lupauksiaan lunnaiden saamisen jälkeen, koko kiristysrikollisuus romahtaisi. Ei olisi miljardiluokan kyberrikollisuutta.

Kiristäjä on ilmeisesti taas herännyt. En tiedä milloin alla olevat viestit on kirjoitettu, mutta kiertävässä kuvakaappauksessa on seuraavat tiedot.

Anonyymi: I have informed every victim of this breach. And i will keep on doing that :) sincerely yours whitehathacker :*

ransom_man: Thank you mr. whitehathacker. We want the victims informed, it increases our chances of getting paid.

Uskokaa tai älkää niin toi on huumeveikko. Takana huumerikollisuus.

Ja tuo kiristäjän antoi 30 päivää aikaa maksaa, valtioltahan ne rahat olisi voinut lainata.

Vierailija kirjoitti:

Vierailija kirjoitti:

Onko tehty kaikki tehtävissä oleva, ettei noita yksityisiä julkaistaisi?

toimari oli sanonut sille, että julkase jos haluat, mutta hän ei maksa mitään. tiedot ei tullut julki kerralla, vaan pienissä erissä, mutta ei silti tehnyt mitään estääkseen tuota.

Missä nää tiedot sitten on?????

Kukas se jahtaa naisia ihan normaalista seksistä? Miksi naisia saa jahdata siitä että he harrastavat seksiä, mutta miesten fantasioita pitää suojella? Siktäs saatte. Saa miehet alkaa kärsiä! Te itse jahtaatte naisia, vaikka töllötätte pornoa ja alennatte naisten ihmisyyttä.

Tää on niin järkyttävän hyytävä keissi, että sanokaa mun sanoneeni, tästä tehdään vielä elokuva!

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Pitääpä laittaa pyyntö psykiatrille poistaa Kannasta kaikki terapiatiedot. Ennen pitkää sielläkin kuitenkin joku murtanut tiedot.

Nyt on ainakin ennakkotapaus suomalaisten tietojen kiinnostuksesta. Siitä on jo ollut useita ennakkotapauksia, että eri isojen pilvipalveluiden yksilöiden tietoja on vuodettu ja netissä on sen seurauksena lukemattomien julkkisten henkilökohtaista kuvamateriaalia. Ei isoista pilvipalveluista tietoja ongita arvaamalla salasana, vaan ammattitaidolla, kun löytyy keinot avata palvelun tietoja.

Kannasta ei voi pyytää poistamaan tietoja. Uskokaa jo.

Voi pyytää. Ihan GDPR:ssä on asetus jonka nojalla tietojen pyynnön voi aina esittää. Ja viranomaisten jotka ylläpitää tietoja on aina vastattava pyyntöön.

Suomessa ei otettu käyttöön oikeus tulla unohdetuksi periaatetta, niin viranomaisten on vastattava pyyntöön, mutta sen noudattaminen on poliittisista päätöksentekijöistä kiinni. Jos riittävän moni haluaa, kyllä siitä syntyy painetta, että arkaluontoisten tietojen kohdalla asiaa harkitaan eduskunnassa.

Siitä on säädetty aikanaan lailla, tiedot on varmassa tallessa Kannassa, sinne ei ole kukaan murtautunut, eri systeemit ja ylläpitäjät, eikä edes hyödyttäisi muuttaa tämän takia, vahinkohan on jo tapahtunut.

Miksi lietsotte tarpeetonta hysteriaa näiden keskuteen jotka voivat olla monella tapaa avuntarpeessa jo muutenkin, eivätkä taatusti ole selvillä tämäntapaisista. 

Vierailija kirjoitti:

Samaa mieltä, että maksaa olisi pitänyt(joku tulee mut pian haukkumaan) sillä olisi ostettu aikaa ja koitettu estää näiden tietojen julkaiseminen. Nythän ei edes yritetty. Varmaan jokaisen potilaan mielestäkin tuo 450 000 olisi ollut pieni summa, jos sillä olisi estetty omien arkaluotoisten tietojen vuotaminen.

Nythän tuo hakkeri ei lopeta, ennenkuin rahansa saa, ja vahinko on jo tapahtunut.

Viranomaiset ei varmasti lähde suosittelemaan maksua. Jos niistä alkaisi saamaan maksua ennen pitkää joku keksii tarjota pientä summaa sopivalle terveydenhuollon työntekijälle, että kerää Kannasta kaikki tiedot joihin ehtii päästä käsiksi. Tai joku terveydenhuollon työntekijä itse kerää tiedot, muuttaa Thaimaahan ja sieltä käsin kiristää Kannassa olevilla tiedoilla itselleen elannon.

Vierailija kirjoitti:

Ensin olisi pitänyt Vastaamon varmistaa että kiristäjällä oikeasti on näitä tietoja. Todennäköisesti kiristäjä on jo heti eka viestissään laittanut liitteeksi näitä tietoja.

Sen jälkeen tuo 450000e olisi pitänyt heti maksaa tai pyrkiä neuvottelemaan summaa alaspäin, useinhan kiristäjät suostuvat summan alentamiseen jossain määrin. Eikä 450000e edes iso raha tuon kokoiselle firmalle.

Sen jälkeen tietysti poliisititutkinta päälle.

Tärkeintä olisi tietysti ollut suojata potilaiden tiedot, koska kyse on näin sensitiivisestä materiaalista.

Tuo firma on toiminut totaalisen väärin!

Miettikää jos esim. Puolustusvoimien huippusalaisia tietoja uhattaisiin vuotaa nettiin ja jollakin niitä ihan oikeasti olisi. Luuletteko ettei silloin muka maksettaisi?

En halua verrata mitenkään kahta erilaista tilannetta, mutta ihan vain havainnollistavana esimerkkinä niille jotka sanoo, ettei ikiän pidä maksaa mitään.

En tiedä olisko valtio tehnyt mitä, mutta eikö tuo olis käytännössä sodan julistus, jos pöllit puolustusvoimientietoja?

Minusta ihan naurettavaa ajattelua, että lähdetään ajattelemaan kiristäjän kannalta asiaa.

Potilaiden kannalta tätä olisi pitänyt ajatella ja edes yritttää suojella. Voin vaan kuvitella mikä henkisesti raiskattu olo heillä on, kun ei tiedä missä omat tiedot kulkevat.

En paljoa tietotekniikasta ymmärrä, mutta tulee kyllä sellainen tunne, että nää hakkerit on fiksumpia kuin nää tietoturvanörtit. 

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Pystytäänkö tekijän ip-osoitteen perusteella tai viestien perusteella jäljittämään kuka on tekijä, ja missä hän nyt sijaitsee? Etsintäkuulutusta ja poliisi tekemään ihan konkreettisen pidätyksen. Ei toi kauaa pysty olemaan piilossa tai suojassa.

Takana voi olla myöskin ri kollisliiga. Ja voi olla myöskin ri kollisliiga, jonka toimesta tätä tekijää on uhkailun voimalla painostettu tekemään ko rikos.

On monta vaihtoehtoa ja raha motiivina ilmeisesti. Käy mielessä myöskin jonkinlainen kosto tota vastaamoa kohtaan. Surullista jokatapauksessa, kaikkinensa.

Ei tietoverkkorikoksia ihan noin yksinkertaisesti ratkota. IP-osoitteen piilottaminen on helppoa. Kyllä tutkijat etsivät muita virheitä, jotka hyökkääjä on tehnyt.

Mitä ja millaisia virheitä? Mitä ne voivat olla? (sivusta kommentoin)

Mikä tahansa johtolanka, joka jollain tapaa identifioisi tai veisi lähemmäksi hyökkääjää. Esim. nyt julkaistujen tiedostojen mukana oli kopio verkkosivusta, jolle on ilmeisesti vahingossa jäänyt IP-osoite, joka saattaa olla hyökkääjän oikea osoite tai sitten jokin osa sitä koneiden ketjua, jota hyökkäykseen on käytetty. Aiemmin vastaavissa tapauksissa on jääty kiinni mm. siten, että on käynyt ensin omalla IP-osoitteella tutkimassa sivustoa ennen murtoa. Yksi mahdollisuus olisi maksaa lunnaat ja yrittää jäljittää mihin bitcoinit liikkuvat, jos hyökkääjä ei tarpeeksi taitavasti niiden reittiä häivytä. Myös kiristyskirjeissä käytettyä tekstiä voi analysoida ja pyrkiä tunnistamaan tekijää sitä kautta. Ei ole tavatonta sekään, että tekijä on kehuskellut teollaan ympäriinsä ja joku päättää sitten ilmiantaa.

https://www.is.fi/digitoday/tietoturva/art-2000001892737.html

Vierailija kirjoitti:

Vierailija kirjoitti:

Ensin olisi pitänyt Vastaamon varmistaa että kiristäjällä oikeasti on näitä tietoja. Todennäköisesti kiristäjä on jo heti eka viestissään laittanut liitteeksi näitä tietoja.

Sen jälkeen tuo 450000e olisi pitänyt heti maksaa tai pyrkiä neuvottelemaan summaa alaspäin, useinhan kiristäjät suostuvat summan alentamiseen jossain määrin. Eikä 450000e edes iso raha tuon kokoiselle firmalle.

Sen jälkeen tietysti poliisititutkinta päälle.

Tärkeintä olisi tietysti ollut suojata potilaiden tiedot, koska kyse on näin sensitiivisestä materiaalista.

Tuo firma on toiminut totaalisen väärin!

Miettikää jos esim. Puolustusvoimien huippusalaisia tietoja uhattaisiin vuotaa nettiin ja jollakin niitä ihan oikeasti olisi. Luuletteko ettei silloin muka maksettaisi?

En halua verrata mitenkään kahta erilaista tilannetta, mutta ihan vain havainnollistavana esimerkkinä niille jotka sanoo, ettei ikiän pidä maksaa mitään.

En tiedä olisko valtio tehnyt mitä, mutta eikö tuo olis käytännössä sodan julistus, jos pöllit puolustusvoimientietoja?

Potilastiedot eivät ole valtiosalaisuuksia, joten hyödytöntä vertailla salauksen tasoja.