Psykoterapiakeskus Vastaamo tietomurron kohteena

Tarkoittaako tää nyt sitä että joku tyyppi ystävällisesti laittaa viestiä noille kenen tiedot on julkaistu?

En tiedä avasko kukaan tota mun viimeksi laittamaani linkkiä, mutta tässä pieni ote siitä:

– Olemme huomanneet, että meillä ulkoverkon rajapinnassa tuhansittain erilaisia kolkuttelijoita kokeilemassa sisäänpääsyä. Kutsumme sitä kohinaksi, Laakkonen sanoo.

Sairaalalaitteista siis kyse, joissa myös paljon potilastietoja. Eli kaikkia näitä käydään "koputtelemassa" jatkuvasti, kyllä varmaan Kantaa ja muitakin. En enää minäkään ole yhtään varma, että meidän tietomme oikeasti ovat suojassa.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Mistä nyt nään sen linkin missäniitä tietoja on??

Toivottavasti et missään. En nyt haluaisi, että kaikki kävisi uteliaisuuttaan katsomassa vuodettuja tietojani jos omat tiedot sattuisi olemaan vuodettu. Luulisi, että viranomaiset saa hävitettyä tiedot kohteesta sitä mukaa kuin linkkejä tulee julki.

Mua ei kiinnosta muiden tiedot vaan omat. Hölmö.

Jos linkki olisi av:lla jaossa luuletko, että täällä kaikki tyytyisi vain katsomaan omia tietojaan?

Lopeta turhan jauhaminen. Tottakai oon hädissäni kun koko ajan jauhetaan miten kaikki on julkista mutta sitten ite ei edes nää eikä tiedä omia tietojaan. Hieman ottaa päähän.

Voit tilata Vastaamosta omat tiedot. Ainakin tiedät sitten mitä voi mahdollisesti mennä julki.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Pitääpä laittaa pyyntö psykiatrille poistaa Kannasta kaikki terapiatiedot. Ennen pitkää sielläkin kuitenkin joku murtanut tiedot.

Nyt on ainakin ennakkotapaus suomalaisten tietojen kiinnostuksesta. Siitä on jo ollut useita ennakkotapauksia, että eri isojen pilvipalveluiden yksilöiden tietoja on vuodettu ja netissä on sen seurauksena lukemattomien julkkisten henkilökohtaista kuvamateriaalia. Ei isoista pilvipalveluista tietoja ongita arvaamalla salasana, vaan ammattitaidolla, kun löytyy keinot avata palvelun tietoja.

Kannasta ei voi pyytää poistamaan tietoja. Uskokaa jo.

Voi pyytää. Ihan GDPR:ssä on asetus jonka nojalla tietojen pyynnön voi aina esittää. Ja viranomaisten jotka ylläpitää tietoja on aina vastattava pyyntöön.

Suomessa ei otettu käyttöön oikeus tulla unohdetuksi periaatetta, niin viranomaisten on vastattava pyyntöön, mutta sen noudattaminen on poliittisista päätöksentekijöistä kiinni. Jos riittävän moni haluaa, kyllä siitä syntyy painetta, että arkaluontoisten tietojen kohdalla asiaa harkitaan eduskunnassa.

Siitä on säädetty aikanaan lailla, tiedot on varmassa tallessa Kannassa, sinne ei ole kukaan murtautunut, eri systeemit ja ylläpitäjät, eikä edes hyödyttäisi muuttaa tämän takia, vahinkohan on jo tapahtunut.

Miksi lietsotte tarpeetonta hysteriaa näiden keskuteen jotka voivat olla monella tapaa avuntarpeessa jo muutenkin, eivätkä taatusti ole selvillä tämäntapaisista. 

Miten niin lietsotte? Etkö huomannut otsikon tapahtumia, jossa tiedot on oikeasti vuodettu? Minulla on omat tiedot Kannassa ja ei paljoa halua, että sellaisia tietoja julkaistaan.

Applella, Googlella ja monella muulla pilvipalvelujätillä varmasti parempi osaaminen tietoturvaan ja silti sieltä on vuodettu kuvia ja videoita. NSA:lta vuodettu tietoja ja tuskin ihan vahingossa jäänyt tietoturva aukko.

Ammattitaitoa hakkeriryhmissä löytyy murtautua eri järjestelmiin. Tietosuoja on kilpajuoksua, kun joku keksii tietosuoja algoritmin, menee hetken, että hakkerit osaavat murtaa sen. Sen vuoksi on kokoajan kehitettävä parempaa. Ennen pitkää suomalaisetkin viranomaiset jäävät hetkeksi jälkeen.

Tuota tapahtumaa ennen Suomessa ei ole ollut suuria tietovuotoja jos ei Myllylän poliisien urkintaa ajatella suureksi. Kun ihmiset yleisesti hoksaa, että sillähän tehdään rahaa, löytyy yhä useampi terveydenhuollon henkilö joka oikeasti saa kanavat jota kautta rahaa vastaan välittää tietoja. Syytä on vaikea arvata, mutta esimerkiksi peliriippuvuuden tai huumeriippuvuuden aiheuttamat velat voivat johtaa ongelman lyhytaikaiseen ratkaisuun tietoja vuotamalla.

Kannasta ei ole vuotanut mitään tietoja tähän mennessä eikä sellaista ole uutisoitu joten lopeta tuo asialla vellominen tai joudutaan poistamaan koko ketju. 

On ollut uutisiakin siitä kuinka joku on tutkinut tuttavien tietoja Kannasta. Ihan turha esittää, että siellä ne olisi jossain hyperturvassa. On vain ajan kysymys koska joku isommassa mittakaavassa kerää niitä tietoja.

Ja voihan olla, että joku on jo kerännyt, mutta ei vielä julkaissut tai kiristänyt niillä. Tämäkin tapaus on kahden vuoden takaisia tietoja joista tiedoista vastaavakaan ei ollut tiennyt kuin vasta nyt.

Vierailija kirjoitti:

Nyt meni pauselle aika monen ihmisen terapiakäynnit. Minkälaista tietosuojaa muilla (yksityisillä) alan toimijoilla mahtaa olla tarjolla? Ovatko parempia?

Suosittelen lähintä baaria. Tietosuojaa ei ole, mutta kun vetää kaljaa ja puhuu niitä näitä muiden elämässään murjottujen kanssa, niin johan tuntuu paremmalta.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Mistä nyt nään sen linkin missäniitä tietoja on??

Toivottavasti et missään. En nyt haluaisi, että kaikki kävisi uteliaisuuttaan katsomassa vuodettuja tietojani jos omat tiedot sattuisi olemaan vuodettu. Luulisi, että viranomaiset saa hävitettyä tiedot kohteesta sitä mukaa kuin linkkejä tulee julki.

Mua ei kiinnosta muiden tiedot vaan omat. Hölmö.

No jos se linkki tänne tulisi, niin sinä menisit huojentuneena katsomaan sinne tietojasi ja niin menisi 10-50 000 muutakin ihmistä. Myös ne, keitä asia ei koske millään tavalla. Mieti nyt vähän itsekin.

Vierailija kirjoitti:

Nyt meni pauselle aika monen ihmisen terapiakäynnit. Minkälaista tietosuojaa muilla (yksityisillä) alan toimijoilla mahtaa olla tarjolla? Ovatko parempia?

Villilänsi ja tuuripeliä.

Ei ole alan tietämystä mutta puhdas veikkaus intuitiolla ja maalaisjärjellä. Ainahan mä gurut sanoo että mikään ei ole täysin luotettavaa. Taitaa itse Putinkin siirtää kriittisintä dataa hallituksessa perinteisemmin keinoin.

Vierailija kirjoitti:

https://www.is.fi/digitoday/tietoturva/art-2000001892737.html

Onhan näitä. Muistaakseni jossain maailmalla oli onnistuttu murtautumaan taloon verkossa olevan vauvan turvakameran (tjsp) avulla. Vauvan tuotteen softassa kun oli joku tietoturva-aukko, jonka avulla hyökkäjä pääsi muuhun verkkoon käsiksi. Ja koska kyseessä oli ns. älykoti, ei sitten tarvinnutkaan kuin katsoa turvakamerasta milloin omistaja lähtee pois, pistää turvajärjestelmä kiinni ja antaa ovelle käsky: aukea.

Samoin sähköautojen hakkerointia on jo kokeiltu ja onnistuu. Testissä toimittajan auto kaapattiin kesken ajon jonka jälkeen testaaja hallitsi autoa täysin.

Siis vieläkö Vastaamo ottaa asiakkaita vastaan tämän jälkeen? Eikö Valvira keskeytä toimintaa?

”Tiettävästi tiedot ajalta ennen 2018” — milloin ovat varmoja, miltä ajalta ne ovat? Jäädäänkö siis vain odottamaan kiristäjän lisäjulkistuksia?

Vierailija kirjoitti:

Nyt meni pauselle aika monen ihmisen terapiakäynnit. Minkälaista tietosuojaa muilla (yksityisillä) alan toimijoilla mahtaa olla tarjolla? Ovatko parempia?

Kaikkein varmin on, kun sopii terapeutin kanssa, että mitään tietoja ei kirjata ellei Kelalle tarvita. Onnistunee liki jokaisen yksinyrittäjän kanssa.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Pystytäänkö tekijän ip-osoitteen perusteella tai viestien perusteella jäljittämään kuka on tekijä, ja missä hän nyt sijaitsee? Etsintäkuulutusta ja poliisi tekemään ihan konkreettisen pidätyksen. Ei toi kauaa pysty olemaan piilossa tai suojassa.

Takana voi olla myöskin ri kollisliiga. Ja voi olla myöskin ri kollisliiga, jonka toimesta tätä tekijää on uhkailun voimalla painostettu tekemään ko rikos.

On monta vaihtoehtoa ja raha motiivina ilmeisesti. Käy mielessä myöskin jonkinlainen kosto tota vastaamoa kohtaan. Surullista jokatapauksessa, kaikkinensa.

Ei tietoverkkorikoksia ihan noin yksinkertaisesti ratkota. IP-osoitteen piilottaminen on helppoa. Kyllä tutkijat etsivät muita virheitä, jotka hyökkääjä on tehnyt.

Mitä ja millaisia virheitä? Mitä ne voivat olla? (sivusta kommentoin)

Mikä tahansa johtolanka, joka jollain tapaa identifioisi tai veisi lähemmäksi hyökkääjää. Esim. nyt julkaistujen tiedostojen mukana oli kopio verkkosivusta, jolle on ilmeisesti vahingossa jäänyt IP-osoite, joka saattaa olla hyökkääjän oikea osoite tai sitten jokin osa sitä koneiden ketjua, jota hyökkäykseen on käytetty. Aiemmin vastaavissa tapauksissa on jääty kiinni mm. siten, että on käynyt ensin omalla IP-osoitteella tutkimassa sivustoa ennen murtoa. Yksi mahdollisuus olisi maksaa lunnaat ja yrittää jäljittää mihin bitcoinit liikkuvat, jos hyökkääjä ei tarpeeksi taitavasti niiden reittiä häivytä. Myös kiristyskirjeissä käytettyä tekstiä voi analysoida ja pyrkiä tunnistamaan tekijää sitä kautta. Ei ole tavatonta sekään, että tekijä on kehuskellut teollaan ympäriinsä ja joku päättää sitten ilmiantaa.

Vain täydellinen tampio ja amatööri hyökkää oman ip-tunnuksensa kautta.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Mistä nyt nään sen linkin missäniitä tietoja on??

Toivottavasti et missään. En nyt haluaisi, että kaikki kävisi uteliaisuuttaan katsomassa vuodettuja tietojani jos omat tiedot sattuisi olemaan vuodettu. Luulisi, että viranomaiset saa hävitettyä tiedot kohteesta sitä mukaa kuin linkkejä tulee julki.

Mua ei kiinnosta muiden tiedot vaan omat. Hölmö.

Jos linkki olisi av:lla jaossa luuletko, että täällä kaikki tyytyisi vain katsomaan omia tietojaan?

Lopeta turhan jauhaminen. Tottakai oon hädissäni kun koko ajan jauhetaan miten kaikki on julkista mutta sitten ite ei edes nää eikä tiedä omia tietojaan. Hieman ottaa päähän.

No ens yönä voit valvoa ja kytätä jonnepaikalla. Siellähän siitä puhutaan ja sinne linkkejä on jaettu.

Vierailija kirjoitti:

Vierailija kirjoitti:

Nyt meni pauselle aika monen ihmisen terapiakäynnit. Minkälaista tietosuojaa muilla (yksityisillä) alan toimijoilla mahtaa olla tarjolla? Ovatko parempia?

Suosittelen lähintä baaria. Tietosuojaa ei ole, mutta kun vetää kaljaa ja puhuu niitä näitä muiden elämässään murjottujen kanssa, niin johan tuntuu paremmalta.

En ole koskaan käynyt terapiassa, joten tuo voisi olla upea elämys.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Mistä nyt nään sen linkin missäniitä tietoja on??

Toivottavasti et missään. En nyt haluaisi, että kaikki kävisi uteliaisuuttaan katsomassa vuodettuja tietojani jos omat tiedot sattuisi olemaan vuodettu. Luulisi, että viranomaiset saa hävitettyä tiedot kohteesta sitä mukaa kuin linkkejä tulee julki.

Mua ei kiinnosta muiden tiedot vaan omat. Hölmö.

Jos linkki olisi av:lla jaossa luuletko, että täällä kaikki tyytyisi vain katsomaan omia tietojaan?

Lopeta turhan jauhaminen. Tottakai oon hädissäni kun koko ajan jauhetaan miten kaikki on julkista mutta sitten ite ei edes nää eikä tiedä omia tietojaan. Hieman ottaa päähän.

Voit tilata Vastaamosta omat tiedot. Ainakin tiedät sitten mitä voi mahdollisesti mennä julki.

Siinäkin on riski että Posti hukkaa ne matkalla. Kannattaa noutaa jos onnistuu.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Mistä nyt nään sen linkin missäniitä tietoja on??

Toivottavasti et missään. En nyt haluaisi, että kaikki kävisi uteliaisuuttaan katsomassa vuodettuja tietojani jos omat tiedot sattuisi olemaan vuodettu. Luulisi, että viranomaiset saa hävitettyä tiedot kohteesta sitä mukaa kuin linkkejä tulee julki.

Mua ei kiinnosta muiden tiedot vaan omat. Hölmö.

No jos se linkki tänne tulisi, niin sinä menisit huojentuneena katsomaan sinne tietojasi ja niin menisi 10-50 000 muutakin ihmistä. Myös ne, keitä asia ei koske millään tavalla. Mieti nyt vähän itsekin.

Mitä sä jauhat? Jos sulla ei ole linkkiä tai tietoa miten sen saa niin ole hiljaa.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vastaamo vastuuseen jos tietosuoja on todella ollut tuolla tasolla. Kaikkien asianosaisten yhteinen kanne?

Hyvät neuvot kalliita. 

Tässä vaiheessa parasta kuulostella viranomaistahojen ohjeita, IS:n sivuilla oli nyt Taysin puolelta annettu neuvoja tilanteeseen.

https://www.is.fi/digitoday/art-2000006681207.html

Mitä ihmeen tietoja ne säilyttää Taysissa Vastaamolla?

”Tays antaa asiakkaille seuraavat neuvot:

Jos tiedät tai epäilet, että tietosi on vuodettu, Tee tarvittaessa luottokielto (Asiakastieto Oy:lle ja Bisnode Oy:lle), varmista osoitetietojesi oikeellisuus Väestörekisterikeskukselta, maistraatilta ja Postilta sekä oikaise tarvittaessa osoitetietosi.”

Jos terapiapalvelun tietovuotoon neuvotaan luottokieltoa, onko jotain pankkitunnuksia annettu sinne?

Nuo tuohan on vankkaa hätävarjelun liioittelua, mutta eivät taysin lääkärit ehkä olekaan tietoturva-asiantuntijoita. He siis antavat ohjeen siltä varalta että joku olisi tehnyt näillä 200 hetulla jäynää tekemällä osoitteenmuutosilmoituksen. Luottokiellon idea ei minulle oikein aukea, koska ei pelkällä hetulla mitään raha-asioita hoideta.

Maailma ja netti ovat täynnä suomalaisia hetuja eikä niitä mihinkään rikoksiin käytetä. Identiteettivarkaudet tehdään aivan toisin keinoin (useimmiten poikkis nappaa tyttisensä pankkitunnukset kun suhde on hiipumassa, tai jonne pakottaa isovanhempansa luovuttamaan omansa).

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Mistä nyt nään sen linkin missäniitä tietoja on??

Toivottavasti et missään. En nyt haluaisi, että kaikki kävisi uteliaisuuttaan katsomassa vuodettuja tietojani jos omat tiedot sattuisi olemaan vuodettu. Luulisi, että viranomaiset saa hävitettyä tiedot kohteesta sitä mukaa kuin linkkejä tulee julki.

Mua ei kiinnosta muiden tiedot vaan omat. Hölmö.

No jos se linkki tänne tulisi, niin sinä menisit huojentuneena katsomaan sinne tietojasi ja niin menisi 10-50 000 muutakin ihmistä. Myös ne, keitä asia ei koske millään tavalla. Mieti nyt vähän itsekin.

Mitä sä jauhat? Jos sulla ei ole linkkiä tai tietoa miten sen saa niin ole hiljaa.

Otsikko on edelleen: ”Vastaamo tietomurron kohteena” ei ”linkki vuodettuihin tietoihin”. Tämä on keskusteluryhmä. Jos et kestä sitä, että joku vastaa aiheen mukaan, Ei ole vaikeaa olla kirjoittamatta tänne.

Vierailija kirjoitti:

Pitääpä laittaa pyyntö psykiatrille poistaa Kannasta kaikki terapiatiedot. Ennen pitkää sielläkin kuitenkin joku murtanut tiedot...

Ei onnistu. Ei sellaistenkaan tietojen poistaminen onnistu, joiden myönnetään olevan vääriä. Esim. Turun kaupungin sossun toiminnasta tiedetään, että siellä ei ole suostuttu poistamaan sellaistakaan sosiaalityöntekijän kirjoittamaa virheellistä asiakastietoa, jonka esimies myöntää olevan väärä tulkinta asiakkaan tilanteesta. Asenne siellä on se, että jos onkin väärä tulkinta niin se on ollut sosiaalityöntekijän ja hänen esimiehensä mielestä oikea tulkinta silloin kun se kirjoitettu tietoihin. Käsittääkseni tämä asenne on sitten hyväksytty sossun johdon, kaupungin hallinnon ja lautakunnan päätöksellä. Julkisen terveydenhuollon puolella tätä hallinnon päätöstä on pidetty sellaisena asiana joka vaarantaa edelleen potilasturvallisuutta. Sossun toiminta on aiheuttanut paljon haittaa ja johtanut muiden tahojen väärinkäsityksiin, ja myös mahdollistanut mm. potilaan hyväksikäyttöä yksityisellä terveydenhuollon puolella. Sosiaaliasiamies on suullisesti sanonut (tallenne olemassa) että asiakasta on kohdeltu väärin mutta ei osannut vastata, miksi hallinnon antamissa vastauksissa väitetään, ettei virheitä ole tapahtunut. Elämme aikoja jännän äärellä, totta tosiaan, kun mihinkään ei voi enää luottaa.

Vierailija kirjoitti:

En tiedä avasko kukaan tota mun viimeksi laittamaani linkkiä, mutta tässä pieni ote siitä:

– Olemme huomanneet, että meillä ulkoverkon rajapinnassa tuhansittain erilaisia kolkuttelijoita kokeilemassa sisäänpääsyä. Kutsumme sitä kohinaksi, Laakkonen sanoo.

Sairaalalaitteista siis kyse, joissa myös paljon potilastietoja. Eli kaikkia näitä käydään "koputtelemassa" jatkuvasti, kyllä varmaan Kantaa ja muitakin. En enää minäkään ole yhtään varma, että meidän tietomme oikeasti ovat suojassa.

Mikä tahansa verkko on turvaton, kun sopiva ammattilainen tekee työtään. Kaikkein turvallisin keino käsitellä arkaluontoista tietoa on olla käsittelemättä sitä ollenkaan. Toiseksi turvallisin on julkaista se tieto heti alkuun, niin se ei ole tietoturvauhka.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Sain sähköpostin. Mielenkiintoista, että te vuodatte mun tietoja ja mun pitää kytätä, että niitä ei ole missään? NIINKÖ?Toivon todella, että tästä joutuu vastuuseen kaikki ton lafkan kehittäjät, jotka ei ole huomannut tätä.

Aivan! Tässä pitäis lähteä jostain Tor-verkosta hakemaan omia tietoja! Voivat haistaa pitkän paskan. Niskalaukaus myös hakkerille kiitos.

Mielestäni jonkun pitäisi ottaa yhteyttä henkilöihin, joiden teidot on nähtävillä. Tämän ei pitäisi olla hankalaa, koska vuodetuissa asiakirjoissa on kaikki mahdolliset tiedot hetua myöten.

F-Securen tietokannassa ei ole Vastaamosta vuodettuja tietoja, mutta silti kannattaa tarkistaa kuinka monesta muusta palvelusta tietojasi on vuotanut.

https://www.f-secure.com/fi/home/free-tools/identity-theft-checker

En nyt tämän perusteella lähtisi sekoamaan. Tuollahan sanotaan että tieto voi olla esim käyttäjätunnus, eli jollakin on tiedossaan sähköpostiosoitteesi. So what.

Annan esimerkin:

Minä myyn tori.fi vaatetta ja laitan oman sähköpostini yhteystietoihin näkyviin. Ilmoittaudun mukaan uuden vuodesohvan arvontaan ja laitan sähköpostini sivulle. Seuraavaksi teen käyttäjätunnuksen erääseen chattiin.

Joku näistä on voinut olla sivusto, jolta joku a. joko poimii sähköposteja b. sivusto jonka pääasiallinen tarkoitus on poimia sähköposteja. Näitä voi sitten hyödyntää myymällä spämmintuottajille. -> minulla on sähköpostin roskakorissa epämääräisiä viestejä. Tämä ei siis itsessään ole tietoturvauhka, kun en niitä avaa.