Psykoterapiakeskus Vastaamo tietomurron kohteena

Ei sitä moni mielialaongelmainen jaksa näistä asioista stressata sillä hetkellä kun hakee hoitoa. Sit jälkeenpäin miettii et olis voinu tätäkin puolta huomioda paremmin. Aina pitäs näköjään olla langat omissa käsissä.

Itse hakkerointi tai tietoturvan laiminlyönti ei välttämättä ainakaan pelkästään ole Vastaamon omalla vastuulla, jos he ovat tilanneet it-palvelut joltain ulkopuoliselta palveluntarjoajalta.

Mutta se että Vastaamo ei heti pyrkinyt minimoimaan vahinkoja vaan päästivät tiedot vuotamaan nettiin, on kyllä ihan heidän omalla vastuullaan.

Niin siis tämän hetkisen tiedon mukaan sivuston suojauksen taso on on ollut samaa luokaa kuin että pidät puhelimesi pin koodina 0000 tai 1234. Sivustolle pääsyn jälkeen (vertaa että ulkopuolinen on päässyt puhelimeesi sisälle pin koodin syöttämisen jälkeen) hakkerilla on ollut sitten pääsy palvelun tietoihin jotka tässä tapauksessa on olleet nuo henkilötiedot ja tapaamisten muistiinpanot. Eli suomeksi siellä on ollut suoraan näkymä josta nuo muistiinpanot on sitten voinut automaattisesti ladata ulos.

Alunperinhän tuo vastaamo aloitti niin että "terapiaa" sai sähköpostiviestien välityksellä. Melko legittiä tämäkin. Tämä käy ilmi vanhasta hesarin uutisesta jossa palvelun perustutta poikaa ja psykoterapeutti äitiä on haastateltu.

Toivottavasti sekä tiedot vuotanut että palvelun ylläpitäjät joutuvat vastuuseen.

Vierailija kirjoitti:

Tarkoittaako tää nyt sitä että joku tyyppi ystävällisesti laittaa viestiä noille kenen tiedot on julkaistu?

Niinhän tuo tyyppi väittää, mutta toki rikollisverkon lupauksiin kannattaa suhtautua kriittisesti. Eihän se silti iso vaiva olisi jos lista on käsillä napata siitä nuo 200 sähköpostiosoitetta ja laittaa kaikille viesti tyyliin, Hei, Lataamo-tietosi ovat netissä. ja perään linkki listaan.

Vierailija kirjoitti:

Vierailija kirjoitti:

Pitääpä laittaa pyyntö psykiatrille poistaa Kannasta kaikki terapiatiedot. Ennen pitkää sielläkin kuitenkin joku murtanut tiedot...

Ei onnistu. Ei sellaistenkaan tietojen poistaminen onnistu, joiden myönnetään olevan vääriä. Esim. Turun kaupungin sossun toiminnasta tiedetään, että siellä ei ole suostuttu poistamaan sellaistakaan sosiaalityöntekijän kirjoittamaa virheellistä asiakastietoa, jonka esimies myöntää olevan väärä tulkinta asiakkaan tilanteesta. Asenne siellä on se, että jos onkin väärä tulkinta niin se on ollut sosiaalityöntekijän ja hänen esimiehensä mielestä oikea tulkinta silloin kun se kirjoitettu tietoihin. Käsittääkseni tämä asenne on sitten hyväksytty sossun johdon, kaupungin hallinnon ja lautakunnan päätöksellä. Julkisen terveydenhuollon puolella tätä hallinnon päätöstä on pidetty sellaisena asiana joka vaarantaa edelleen potilasturvallisuutta. Sossun toiminta on aiheuttanut paljon haittaa ja johtanut muiden tahojen väärinkäsityksiin, ja myös mahdollistanut mm. potilaan hyväksikäyttöä yksityisellä terveydenhuollon puolella. Sosiaaliasiamies on suullisesti sanonut (tallenne olemassa) että asiakasta on kohdeltu väärin mutta ei osannut vastata, miksi hallinnon antamissa vastauksissa väitetään, ettei virheitä ole tapahtunut. Elämme aikoja jännän äärellä, totta tosiaan, kun mihinkään ei voi enää luottaa.

Jos virheellistä tietoa ei poisteta, siitä voi laittaa oikaisupyynnön tietosuojavaltuutetulle.

Toinen omistajista on tuon ainakin alunperin koodannut. Nämä tiedot löytyvät kun googlettee nimiä ja päätyy Hesarin haastatteluun jossa poika ja äiti kehuskelevat palvelullaan.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Sain sähköpostin. Mielenkiintoista, että te vuodatte mun tietoja ja mun pitää kytätä, että niitä ei ole missään? NIINKÖ?Toivon todella, että tästä joutuu vastuuseen kaikki ton lafkan kehittäjät, jotka ei ole huomannut tätä.

Aivan! Tässä pitäis lähteä jostain Tor-verkosta hakemaan omia tietoja! Voivat haistaa pitkän paskan. Niskalaukaus myös hakkerille kiitos.

Mielestäni jonkun pitäisi ottaa yhteyttä henkilöihin, joiden teidot on nähtävillä. Tämän ei pitäisi olla hankalaa, koska vuodetuissa asiakirjoissa on kaikki mahdolliset tiedot hetua myöten.

F-Securen tietokannassa ei ole Vastaamosta vuodettuja tietoja, mutta silti kannattaa tarkistaa kuinka monesta muusta palvelusta tietojasi on vuotanut.

https://www.f-secure.com/fi/home/free-tools/identity-theft-checker

En nyt tämän perusteella lähtisi sekoamaan. Tuollahan sanotaan että tieto voi olla esim käyttäjätunnus, eli jollakin on tiedossaan sähköpostiosoitteesi. So what.

Annan esimerkin:

Minä myyn tori.fi vaatetta ja laitan oman sähköpostini yhteystietoihin näkyviin. Ilmoittaudun mukaan uuden vuodesohvan arvontaan ja laitan sähköpostini sivulle. Seuraavaksi teen käyttäjätunnuksen erääseen chattiin.

Joku näistä on voinut olla sivusto, jolta joku a. joko poimii sähköposteja b. sivusto jonka pääasiallinen tarkoitus on poimia sähköposteja. Näitä voi sitten hyödyntää myymällä spämmintuottajille. -> minulla on sähköpostin roskakorissa epämääräisiä viestejä. Tämä ei siis itsessään ole tietoturvauhka, kun en niitä avaa.

Vastaamon vuodetuissa tiedoissa on kaikki henkilötunnukset ja yksityiskohtaiset potilaskuvaukset jne.

Mielestäni tuo on jo lähtökohtaisesti ihan väärä tapa ylläpitää arkaluontoisia tietoja.

Pitäisi olla vain esim. asiakasnumero ja nimi+henkilötunnus+yhteystiedot löytyisivät sitten jostain ihan muualta sen asiakasnumeron perusteella.

Vierailija kirjoitti:

Toinen omistajista on tuon ainakin alunperin koodannut. Nämä tiedot löytyvät kun googlettee nimiä ja päätyy Hesarin haastatteluun jossa poika ja äiti kehuskelevat palvelullaan.

Kuulostaapa vakuuttavalta systeemiltä. Ei hyvää päivää sentään.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Sain sähköpostin. Mielenkiintoista, että te vuodatte mun tietoja ja mun pitää kytätä, että niitä ei ole missään? NIINKÖ?Toivon todella, että tästä joutuu vastuuseen kaikki ton lafkan kehittäjät, jotka ei ole huomannut tätä.

Aivan! Tässä pitäis lähteä jostain Tor-verkosta hakemaan omia tietoja! Voivat haistaa pitkän paskan. Niskalaukaus myös hakkerille kiitos.

Mielestäni jonkun pitäisi ottaa yhteyttä henkilöihin, joiden teidot on nähtävillä. Tämän ei pitäisi olla hankalaa, koska vuodetuissa asiakirjoissa on kaikki mahdolliset tiedot hetua myöten.

F-Securen tietokannassa ei ole Vastaamosta vuodettuja tietoja, mutta silti kannattaa tarkistaa kuinka monesta muusta palvelusta tietojasi on vuotanut.

https://www.f-secure.com/fi/home/free-tools/identity-theft-checker

En nyt tämän perusteella lähtisi sekoamaan. Tuollahan sanotaan että tieto voi olla esim käyttäjätunnus, eli jollakin on tiedossaan sähköpostiosoitteesi. So what.

Annan esimerkin:

Minä myyn tori.fi vaatetta ja laitan oman sähköpostini yhteystietoihin näkyviin. Ilmoittaudun mukaan uuden vuodesohvan arvontaan ja laitan sähköpostini sivulle. Seuraavaksi teen käyttäjätunnuksen erääseen chattiin.

Joku näistä on voinut olla sivusto, jolta joku a. joko poimii sähköposteja b. sivusto jonka pääasiallinen tarkoitus on poimia sähköposteja. Näitä voi sitten hyödyntää myymällä spämmintuottajille. -> minulla on sähköpostin roskakorissa epämääräisiä viestejä. Tämä ei siis itsessään ole tietoturvauhka, kun en niitä avaa.

Vastaamon vuodetuissa tiedoissa on kaikki henkilötunnukset ja yksityiskohtaiset potilaskuvaukset jne.

Mielestäni tuo on jo lähtökohtaisesti ihan väärä tapa ylläpitää arkaluontoisia tietoja.

Pitäisi olla vain esim. asiakasnumero ja nimi+henkilötunnus+yhteystiedot löytyisivät sitten jostain ihan muualta sen asiakasnumeron perusteella.

En tiedä vastasitko minulle, olen tuo ylempi, mutta puhuinkin F-Securella nyt paniikissa omia tietovuotojaan testaaville henkilöille; että sieltä löytyvistä tietovuodoista ei välttämättä tarvitse panikoida

Vierailija kirjoitti:

Niin siis tämän hetkisen tiedon mukaan sivuston suojauksen taso on on ollut samaa luokaa kuin että pidät puhelimesi pin koodina 0000 tai 1234. Sivustolle pääsyn jälkeen (vertaa että ulkopuolinen on päässyt puhelimeesi sisälle pin koodin syöttämisen jälkeen) hakkerilla on ollut sitten pääsy palvelun tietoihin jotka tässä tapauksessa on olleet nuo henkilötiedot ja tapaamisten muistiinpanot. Eli suomeksi siellä on ollut suoraan näkymä josta nuo muistiinpanot on sitten voinut automaattisesti ladata ulos.

Alunperinhän tuo vastaamo aloitti niin että "terapiaa" sai sähköpostiviestien välityksellä. Melko legittiä tämäkin. Tämä käy ilmi vanhasta hesarin uutisesta jossa palvelun perustutta poikaa ja psykoterapeutti äitiä on haastateltu.

Toivottavasti sekä tiedot vuotanut että palvelun ylläpitäjät joutuvat vastuuseen.

Miten tuo on voinut olla laillista edes? Jos on laillista tällainen, niin sitten laissa on vikaa. Eikö Valviran ja Kyberturvallisuuskeskuksen ja muiden tahojen pitäisi valvoa näitaä lafkoja?

Vierailija kirjoitti:

Itse hakkerointi tai tietoturvan laiminlyönti ei välttämättä ainakaan pelkästään ole Vastaamon omalla vastuulla, jos he ovat tilanneet it-palvelut joltain ulkopuoliselta palveluntarjoajalta.

Mutta se että Vastaamo ei heti pyrkinyt minimoimaan vahinkoja vaan päästivät tiedot vuotamaan nettiin, on kyllä ihan heidän omalla vastuullaan.

Se yritys jonka tietokannassa tiedot ovat vastaa aina omista tiedoistaan ja niiden tietoturvasta. Yritys ei voi ulkoistaa omaa vastuutaan. Vähän sama kuin valtio keksisi ulkoistaa vastuun Kannasta kilpailutuksella halvimmin tarjoavalle... moni voisi tarjota turvaa toista edullisemmin

Hölmö kysyy, että jos nyt hankkii varmuuden vuoksi tuon omaehtoisen luottokiellon, niin se ei estä maksamasta olemassa olevia palveluita, liittymiä ym. edelleen laskulla, eihän? Estää vaan tekemästä uusia laskuja, hakemasta lainaa jne?

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vastaamo vastuuseen jos tietosuoja on todella ollut tuolla tasolla. Kaikkien asianosaisten yhteinen kanne?

Hyvät neuvot kalliita. 

Tässä vaiheessa parasta kuulostella viranomaistahojen ohjeita, IS:n sivuilla oli nyt Taysin puolelta annettu neuvoja tilanteeseen.

https://www.is.fi/digitoday/art-2000006681207.html

Mitä ihmeen tietoja ne säilyttää Taysissa Vastaamolla?

”Tays antaa asiakkaille seuraavat neuvot:

Jos tiedät tai epäilet, että tietosi on vuodettu, Tee tarvittaessa luottokielto (Asiakastieto Oy:lle ja Bisnode Oy:lle), varmista osoitetietojesi oikeellisuus Väestörekisterikeskukselta, maistraatilta ja Postilta sekä oikaise tarvittaessa osoitetietosi.”

Jos terapiapalvelun tietovuotoon neuvotaan luottokieltoa, onko jotain pankkitunnuksia annettu sinne?

Nuo tuohan on vankkaa hätävarjelun liioittelua, mutta eivät taysin lääkärit ehkä olekaan tietoturva-asiantuntijoita. He siis antavat ohjeen siltä varalta että joku olisi tehnyt näillä 200 hetulla jäynää tekemällä osoitteenmuutosilmoituksen. Luottokiellon idea ei minulle oikein aukea, koska ei pelkällä hetulla mitään raha-asioita hoideta.

Maailma ja netti ovat täynnä suomalaisia hetuja eikä niitä mihinkään rikoksiin käytetä. Identiteettivarkaudet tehdään aivan toisin keinoin (useimmiten poikkis nappaa tyttisensä pankkitunnukset kun suhde on hiipumassa, tai jonne pakottaa isovanhempansa luovuttamaan omansa).

Kyllä henkilötunnuksella ja nimellä saa vaikka mitä aikaan.

" Yle uutisoi Jarista, jonka elämään vuotanut henkilötunnus edelleen vaikuttaa. Jarin elämää vuoto ei vaikuttanut aluksi mitenkään, mutta hän on joutunut identiteettivarkauden uhriksi. Tämä tarkoittaa käytännössä sitä, että joku tilaa netissä hänen henkilötiedoillaan tavaraa. Vaarana on, että Jari joutuu maksamaan ostoksista koituvia laskuja, vaikka hän ei ole ostanut itselleen mitään. Kesällä 2016 Jarin nimissä tilattiin kolme iPhonea ja MacBook Pro. Myöhemmin ilmeni vielä, että Jarin tiedoilla oli ostettu kallis Audi, joten identiteettivarkaudella voi olla huomattavia taloudellisia seurauksia lyhyelläkin aikavälillä."

Vierailija kirjoitti:

Vierailija kirjoitti:

Koska joku hakkeroi Kannan?

Ei tulevaisuudessa ehkä tarvitse. 2018 Eduskunnassa käsiteltiin lakia, joka sallisi kansalaisten sote-tietojen myymisen yrityksille.

Tiesittekö, että väestörekisterikeskus myy henkilötietoja?

YLE: Tiedot kiinnostavat firmoja niin paljon, että ne ovat valmiita maksamaan niistä vuosittain miljoonia euroja.

Jokainen voi tehdä väestörekisterikeskukseen tietojenluovutuskiellon vaikka heti.

Vierailija kirjoitti:

Vierailija kirjoitti:

Itse hakkerointi tai tietoturvan laiminlyönti ei välttämättä ainakaan pelkästään ole Vastaamon omalla vastuulla, jos he ovat tilanneet it-palvelut joltain ulkopuoliselta palveluntarjoajalta.

Mutta se että Vastaamo ei heti pyrkinyt minimoimaan vahinkoja vaan päästivät tiedot vuotamaan nettiin, on kyllä ihan heidän omalla vastuullaan.

Se yritys jonka tietokannassa tiedot ovat vastaa aina omista tiedoistaan ja niiden tietoturvasta. Yritys ei voi ulkoistaa omaa vastuutaan. Vähän sama kuin valtio keksisi ulkoistaa vastuun Kannasta kilpailutuksella halvimmin tarjoavalle... moni voisi tarjota turvaa toista edullisemmin

Nykyään käytetään paljon esim. Microsoftin, Googlen tai Amazonin pilvipalveluita joilla konesaleja ympäri maailmaa. Ei kai silloin tietoturva voi olla pelkästään palvelun tilaajan vastuulla?

Vierailija kirjoitti:

Niin siis tämän hetkisen tiedon mukaan sivuston suojauksen taso on on ollut samaa luokaa kuin että pidät puhelimesi pin koodina 0000 tai 1234. Sivustolle pääsyn jälkeen (vertaa että ulkopuolinen on päässyt puhelimeesi sisälle pin koodin syöttämisen jälkeen) hakkerilla on ollut sitten pääsy palvelun tietoihin jotka tässä tapauksessa on olleet nuo henkilötiedot ja tapaamisten muistiinpanot. Eli suomeksi siellä on ollut suoraan näkymä josta nuo muistiinpanot on sitten voinut automaattisesti ladata ulos.

Alunperinhän tuo vastaamo aloitti niin että "terapiaa" sai sähköpostiviestien välityksellä. Melko legittiä tämäkin. Tämä käy ilmi vanhasta hesarin uutisesta jossa palvelun perustutta poikaa ja psykoterapeutti äitiä on haastateltu.

Toivottavasti sekä tiedot vuotanut että palvelun ylläpitäjät joutuvat vastuuseen.

Tuo on vahvasti yksinkertaistettu kuvaus tietoturva-aukon laadusta. Vaikka kirjautuu sisään root/root niin ei eteen suinkaan lävähdä lista asiakkaiden potilaskertomuksista.

Kerrottu root/root viittaa siihen että kyseessä on linux-kone, jonka järjestelmätunnuksen salasana on root. Tuolla tunnuksella on pääsy koneen ja mahdollisesti koko domainin tietokantoihin. Seuraavaksi pitää löytää tietokanta ja linux-työkalu jolla kannan sisältöä kysellään. Tuo kaikki on toki peruskamaa linux-hevikäyttäjälle, mutta ei esimerkiksi minulle vaikka työskentelenkin it-alalla. Niin ja sieltä tietokannasta pitää ensin tutkia mitä siellä on ja mistä löytyy mielenkiintoista tietoa.

Klarnaa käyttämällä saat toisen hetulla tilattua ihan niin paljon kamaa kuin kehtaat. Kamat sulle kotiin ja lasku lähtee hetun omistajalle. 

No meillä on kai tulossa nämä sukupuolineutraalit tunnukset ni se ehkä helpottaa joidenkin stressiä. Eli jossain vaiheessa ei näillä nykyisillä enää tee mitään.

Vierailija kirjoitti:

Klarnaa käyttämällä saat toisen hetulla tilattua ihan niin paljon kamaa kuin kehtaat. Kamat sulle kotiin ja lasku lähtee hetun omistajalle. 

Ei se luottoraja nyt varmaan ihan loputon ole. Mut jonkin verran varmasti.

Siis onko tämä tietomurto tapahtunut vuoden 2018 lopussa vai nyt tällä viikolla?