Psykoterapiakeskus Vastaamo tietomurron kohteena

Vierailija kirjoitti:

Vierailija kirjoitti:

Miksi ihmeessä noita asioita pitää edes niin tarkasti kirjata? Yksityiskohtineen.

Tämä keissi ainakin varmisti, etten aio koskaan mennä terapiaan.

Tämä. Silloin aikoinaan en edes tiennyt että ne kirjaavat jonnekin koneelle kaiken jos olisin tiennyt niin en olisi edes hyväksynyt sitä. Luulin että tekee vain jotain omia muistiinpanoja minusta jne.

Psykoterapiasta pitää aina tehdä potilasasiakirjat.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Miten tilaat tavaraa tai otat pikavipin toisen nimellä? Ei onnistu, ne rahat maksetaan kumminkin sinun tilillesi, joten kiinni jäät. Tai miten haet Klarnan paketin postista, jos tilannut toisen nimelle? Vaikka tilaisit automaattiin, sinun pitäisi antaa oma puhelinnumerosi ja kiinni jäät.

No haloo, eihän verkkokaupat mitenkään tarkista, että annan oman puhelinnumeroni enkä vaikka miehen. 

Vaikka verkkokauppa ei tarkistaisikaan, niin maksuportaali tarkistaa että kaupan välittämät vastaanottajan tiedot täsmäävät heille rekisteröityneen käyttäjän tietojen kanssa. Siis nimi, hetu, email, puhnro ja toimitusosoite. Voit siis pahimmillaan tilata toisen nimiin hänen osoitteeseensa ja vastaaonttoilmoitus tulee hänen puhelimeensa ja sähköpostiinsa. Et saa tilausta mitenkään itsellesi, edes Klarnaa käyttäen.

No eivät tarkista. Pankki voi liputtaa luottokorttimaksusanomassa jotain haiskahtavia tietoja, mutta on ihan täysin verkkokaupan itsensä päätettävissä ja toteutettavissa että mitä näillä tiedoilla tehdään, vai tehdäänkö mitään.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vuosia kestänyt traumojen työstäminen tuntuu valuvan läpi sormien ja vanhat tutut ahdistus, itseinho, häpeä ja kauhu valtaavat mielen. On käynyt niin, että ne asiat, joihin en pitkään uskaltanut hakea apua enkä sanoa niitä edes ääneen, ovat nyt julkista tietoa, netissä ikuisesti. En voi uskoa että tämä tapahtuu todella

En edes osaa muotoilla miten pahoillani olen puolestasi. Yritä kuitenkin muistaa että hyvin harvat niitä sieltä urkkivat. Niiden lukeminen on edelleen laitonta.

Minkä lain perusteella? Kamalaa ja epäeettistä on, mutta ei niiden lukeminen taida laitonta olla.

Kyllä ne ovat edelleen potilastietosuojan alaista materiaalia, ja kaiken lisäksi varastettua omaisuutta. Mihinkään oikeudelliseen vastuuseen niiden lukemisesta tuskin joutuu, paitsi jos naapurin Pirkko kertoo käyneensä lukemassa potilaskertomukseni, voin aivan hyvin tehdä hänestä rikosilmoituksen. Hän syyllistyy samaan kuin Kanta-palvelua uteliaisuuttaan urkkiva hoitaja.

Aika jännää. Muihin nettiin ladattuihin asioihin ei tällaista sovelleta. Eli jos joku copypastaisi ne tiedot tänne AV:lle, kaikki ne nähneet syyllistyisivät rikokseen?

Vierailija kirjoitti:

Eikös itse data pitäisi olla tällaisessa palvelussa voimakkaasti kryptattuna?

Toki monen lukon takana muutenkin mutta lisäksi vielä salattuna?

Tuolla ei ole ilmeisesti hoidettu asiaa ollenkaan ammattimaisesti.

Pitäis, pitäis. Pitäis olla pontikkapannukin, vaan ei ole.

Vierailija kirjoitti:

Vierailija kirjoitti:

Mistäs ne nyt sitten näkee ne tiedot? Ei sillä että menisin katsomaan enkä nyt kaipaa mitään osoitteita. Tarkoitan vain, että mitä se tarkoittaa käytännössä, että netissä ovat? Missä? Mistä kukaan niitä löytää?

Ne on ainakin sellasella ns. pimeällä verkkosivustolla jossa kai narkkarit käy. Siellä on linkki josta näkee nimet tietoineen. Vaati multa ainakin jonkun verran hakemista ennenkuin löysin, eikä linkki meinannut eka toimia että ehkä jotain normaaleja ihmisiä ei kiinnosta etsiä niitä... en tiedä.

Nyt luinkin uutisesta että tor-verkossa. Joskus olen siellä seikkaillut itsekin. Mutta eipä noita siis kukaan tavan tallaaja tai naapurin Sirpa pääse tuosta vain lukemaan. Ainakin vuosia sitten tor-verkon käyttö vaati jonkin verran perehtymistä. Onneksi.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vuosia kestänyt traumojen työstäminen tuntuu valuvan läpi sormien ja vanhat tutut ahdistus, itseinho, häpeä ja kauhu valtaavat mielen. On käynyt niin, että ne asiat, joihin en pitkään uskaltanut hakea apua enkä sanoa niitä edes ääneen, ovat nyt julkista tietoa, netissä ikuisesti. En voi uskoa että tämä tapahtuu todella

En edes osaa muotoilla miten pahoillani olen puolestasi. Yritä kuitenkin muistaa että hyvin harvat niitä sieltä urkkivat. Niiden lukeminen on edelleen laitonta.

Voisitteko te oikeasti lopettaa sen vähättelyn? Ymmärrätkö ollenkaan, miten traumatisoivaa se on että nuo tiedot pysyvät julkisena lopullisesti, koska joku voi ne aina jakaa uudestaan? Osalla voi olla sellaisia tietoja, että tap*avat itsensä jos tiedot tulevat yhdenkin ulkopuolisen tietoon. Tuo vain harvat niitä lukevat ei lohduta yhtään. LOPETA VÄHÄTTELY! Ihmisten henki ja terveys on nyt uhattu.

Ei kukaan tässä halua vähätellä vaan yrittää lohduttaa.

Eri

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vuosia kestänyt traumojen työstäminen tuntuu valuvan läpi sormien ja vanhat tutut ahdistus, itseinho, häpeä ja kauhu valtaavat mielen. On käynyt niin, että ne asiat, joihin en pitkään uskaltanut hakea apua enkä sanoa niitä edes ääneen, ovat nyt julkista tietoa, netissä ikuisesti. En voi uskoa että tämä tapahtuu todella

En edes osaa muotoilla miten pahoillani olen puolestasi. Yritä kuitenkin muistaa että hyvin harvat niitä sieltä urkkivat. Niiden lukeminen on edelleen laitonta.

Voisitteko te oikeasti lopettaa sen vähättelyn? Ymmärrätkö ollenkaan, miten traumatisoivaa se on että nuo tiedot pysyvät julkisena lopullisesti, koska joku voi ne aina jakaa uudestaan? Osalla voi olla sellaisia tietoja, että tap*avat itsensä jos tiedot tulevat yhdenkin ulkopuolisen tietoon. Tuo vain harvat niitä lukevat ei lohduta yhtään. LOPETA VÄHÄTTELY! Ihmisten henki ja terveys on nyt uhattu.

Itsellä taas henki uhattuna. Vainoaja voi yhdistää kertomani asiat kuten miten hän kidutti minua ja löytää sen avulla uuden nimeni ja paikkakunnan. Kerran vaihtanut nimeä ja 3 x paikkakuntaa jo, kun löytänyt minut. Taas sama pelko edessä. Hän ei ole terve ja käyttää ilmeisesti paljon aikaa etsimiseeni . En varmasti ole ainut, jolla tämä tilanne.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Tämä on jotain ihan kauheaa.

Miten pystyttäisiin estämään tämänkaltainen hakkerointi ja tällaiset tietovarkaudet? Onko kenelläkään tietämystä ja ehdotuksia???

Ilmeisesti vaihtamalla oletuskäyttäjä ja salasana.

Kaksiosainen tunnistautuminen on keksitty tätä varten.

Kaksiosaista tunnistautumista ei käytetä järjestelmätunnuksissa, kuten esim. tietokannoissa vaan käyttäjien tunnistautumisessa.

Tässä tapauksessa olisi riittänyt tietokannan tai sen hallinnointityökalun oletuskäyttäjän ja salasanan vaihtaminen.

Onko jotain oikeaa poliisin antamaa tietoa, että tällaisesta olisi kyse? Kuulostaa enemmän siltä, että tietoturvayhtiöt pesevät käsiään väittäessään, että salasana on ollut liian helppo.

Hakkerin antamaa tietoa. Tai siis kiristäjän, taitaa olla epäselvää onko kyseessä sama taho.

Vierailija kirjoitti:

Vierailija kirjoitti:

Eikös itse data pitäisi olla tällaisessa palvelussa voimakkaasti kryptattuna?

Toki monen lukon takana muutenkin mutta lisäksi vielä salattuna?

Tuolla ei ole ilmeisesti hoidettu asiaa ollenkaan ammattimaisesti.

Tietokannan tietoja tosiaan kryptataan, ainakin salasanat lähes aina ja huolellisemmat saattavat kryptata myös hetut. Mutta mikään ei tietysti estä kryptaamasta esimerkiksi tämän tyyppistä kirjausdataa jota tässä on käsitelty. Ei siitä mitään haittaa  ole, kannat ovat tehokkaita ja kryptaavat sekä purkavat tiedot käyttäjän huomaamatta.

Tämä nyt ei ole kovin sensitiivistä dataa ainakaan teknisessä mielessä, mutta on anteeksiantamatonta että tietokanta jota ei ole tarvetta käyttää ulkoa on avoinna koko maailmalle. Mutta, nämä lienevät näitä linux-hemmojen purkkaviritelmiä. Ilmaissofta on hintansa arvoista.

Siis miten niin ei ole sensitiivistä dataa? Nuohan voivat johtaa its*m*rhiin!!

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Jossain luki, että jos nuo tunnukset tosiaan olisivat root:root, niin nämä tiedot olisivat hakkeroitu jo aika moneen muuhunkin paikkaan?

Todennäköisesti ovat muuallakin. Tämä murto vaikutti niin simppelille, että ihan vain varmuuden vuoksi ladattiin kaikki tieto palvelimelta. Pari vuotta myöhemmin huomattiin, että oltiin saatu haltuun jotain merkittävää.

Laskin juuri, että omaan kodin reitittimeen on tullut viimeisen kolmen vuorokauden aikana yli 10 000 kirjautumisyritystä. Yleisin tunnus, jolla yritetään kirjautua on root. Suurin osa osoitteista, joista yritetään kirjautua ovat Kiinasta.

OMG! Miten tuollaiset kirjautumisyritykset voi katsoa?

Muurin/reitittimen logeista.

Miten noihin siis tota noin pääsee?

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Miten tilaat tavaraa tai otat pikavipin toisen nimellä? Ei onnistu, ne rahat maksetaan kumminkin sinun tilillesi, joten kiinni jäät. Tai miten haet Klarnan paketin postista, jos tilannut toisen nimelle? Vaikka tilaisit automaattiin, sinun pitäisi antaa oma puhelinnumerosi ja kiinni jäät.

No haloo, eihän verkkokaupat mitenkään tarkista, että annan oman puhelinnumeroni enkä vaikka miehen. 

No halååta vaan, ei tarkista, mutta joku numerohan sun on annettava, että sen paketin saat haettua. Helppoahan se on jälkikäteen tarkistaa, mihin numeroon viesti meni.

Voit käydä vaikka joka päivä hakemassa uuden prepaidin ja nakata vanhan roskiin. Ei niitä voi jäljitellä mitenkään.

Kyllä voi, puhelimen IMEI-koodin perusteella.

Monen ulkomaisen sanomalehden lähdesivuilta löytyy tiedot kuinka piilottaa tiedot ”jos sattuu asumaan sellaisella alueella jossa valtio voi seurata”

Ei puhelimen IMEI-koodia voi piilottaa. Ainoa minkä voit tehdä on olla käyttämättä mitään nimiisi rekisteröityä liittymää samassa puhelimessa.

Vierailija kirjoitti:

No mitä siellä oli? Henkilötiedot vai myös niitä terapiakertomuksia?

Osoitetiedot, hetu ja sitten terapiakertomukset kaikilta käynneiltä. Joukossa ainakin yksi kansanedustaja.

Tiedot on julkaistu TOR-verkosta, josta niitä ei pysty poistamaan. Jaettu linkki avautuu normaalilla selaimella, koska käyttää välityspalvelinta, joka noutaa tiedot TOR-verkosta.

Lieköhän välttämättä edes mikään ulkomaalainen hakkeri(ryhmä). Voi hyvin olla joku mielestään ubercool-hakkerijonne teiniviiksihaituvineen, joka nyt selittää että ulkomaalaisia tässä ollaan ja rahaa tarvitaan.

Sitä vaan, että jos vaikka tuhansien tai kymmenientuhansien ihmisten tiedot on imuteltu Vastaamolta, voisin kuvitella, että siinä joukossa on ihmisiä aika lailla joka lähtöön. Jopa sellaisia, joilla ei ole mitään menetettävää, ja kun tekijä tulee ilmi, tältä voi hyvinkin lähteä henki. Kyllä se tekijä joskus selviää.

Vierailija kirjoitti:

"Väitteiden mukaan tietomurtojen uhreja saattaisi olla jopa kymmeniätuhansia. Jos ihminen epäilee olevansa yksi heistä ja huomaa tietojensa vuotaneen, yksi tärkeimmistä ensitoimenpiteistä on rikosilmoitus. Tutkinnanjohtaja Marko Leponen keskusrikospoliisista ei kommentoi tapauksen yksityiskohtia, mutta kertoo ilmoittamisen merkityksestä.

– Rikosilmoituksen tekeminen on tärkeää siksi, että heidän oikeutensa prosessissa täyttyisivät: että heistä tulisi asianomistajia. Silloin voidaan tutkia heidän rangaistus- ja korvausvaatimuksiaan rikosprosessissa, Leponen sanoo."

https://www.iltalehti.fi/digiuutiset/a/f61222d6-f492-4d04-a93b-2b400529…

Pitääkö tuossa ilmoituksessa tietää tehdäänkö rikosilmoitus Vastaamoa vai tuota kiristäjää kohtaan?

Ei ne sitä kiristäjää tule saamaan kiinni. Eiköhän kiristäjä itse tiedä sen, kun tiputtelee noita sadan tietopaketteja nettiin. Joko sillä kiristäjällä on tietoturva vähän Vastaamoa paremmassa kunnossa tai se toimii maassa jossa ei joudu vastuuseen Suomessa tehdystä kiristyksestä.

Tekisin itse rikosilmoituksen Vastaamosta ja jättäisin muun vastaajan avoimeksi jos ja kun poliisi siitä huolimatta selvittää joskus Vastaamolla osallisia tietotekniikka-alihankkijoita.

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vuosia kestänyt traumojen työstäminen tuntuu valuvan läpi sormien ja vanhat tutut ahdistus, itseinho, häpeä ja kauhu valtaavat mielen. On käynyt niin, että ne asiat, joihin en pitkään uskaltanut hakea apua enkä sanoa niitä edes ääneen, ovat nyt julkista tietoa, netissä ikuisesti. En voi uskoa että tämä tapahtuu todella

En edes osaa muotoilla miten pahoillani olen puolestasi. Yritä kuitenkin muistaa että hyvin harvat niitä sieltä urkkivat. Niiden lukeminen on edelleen laitonta.

Voisitteko te oikeasti lopettaa sen vähättelyn? Ymmärrätkö ollenkaan, miten traumatisoivaa se on että nuo tiedot pysyvät julkisena lopullisesti, koska joku voi ne aina jakaa uudestaan? Osalla voi olla sellaisia tietoja, että tap*avat itsensä jos tiedot tulevat yhdenkin ulkopuolisen tietoon. Tuo vain harvat niitä lukevat ei lohduta yhtään. LOPETA VÄHÄTTELY! Ihmisten henki ja terveys on nyt uhattu.

Ei kukaan tässä halua vähätellä vaan yrittää lohduttaa.

Eri

Tuo oli vähättelyä, riippumatta siitä mitä kukaan halusi.

Myös eri

Vierailija kirjoitti:

Vierailija kirjoitti:

Vierailija kirjoitti:

Vuosia kestänyt traumojen työstäminen tuntuu valuvan läpi sormien ja vanhat tutut ahdistus, itseinho, häpeä ja kauhu valtaavat mielen. On käynyt niin, että ne asiat, joihin en pitkään uskaltanut hakea apua enkä sanoa niitä edes ääneen, ovat nyt julkista tietoa, netissä ikuisesti. En voi uskoa että tämä tapahtuu todella

En edes osaa muotoilla miten pahoillani olen puolestasi. Yritä kuitenkin muistaa että hyvin harvat niitä sieltä urkkivat. Niiden lukeminen on edelleen laitonta.

Minkä lain perusteella? Kamalaa ja epäeettistä on, mutta ei niiden lukeminen taida laitonta olla.

Kyllä on.

Toivon oikeasti, että tämä tuo jollain tavalla muutosta potilastietojen käsittelyyn ja julkaisuun. Tarviiko oikeasti olla kaikki sähköpostit, puhelinnumerot, hetut jne siellä? Eikö riittäisi, että henkilö vaikka aina terapiaan tullessa tunnistautuu vaikka passin avulla ja vaan laitetaan tietoihin, että tunnistautunut. 

Vastaamo-nimestä tulee mieleen lataamo. Liekö firman perustajien huumoria tuo nimen valinta?

Vierailija kirjoitti:

Vierailija kirjoitti:

Jossain Tor-verkossa, ei sano kyllä minulle mitään?

Osaako joku selittää mikä toi on.

Normaalista internetistä erillinen verkko, jonka selaamiseen tarvitsee erillisen selaimen ja jossa ei oo esim. Googlea, vaan pitää tietää minne sivustolle on menossa (tai että mitä linkkejä seuraamalla sinne pääsee).

Ei se mitenkään internetistä erillinen ole, ihan samalla IP-protokollalla nekin liikennöivät ja ihan normaalit palvelimet niitä softia pyörittää. 

Vierailija kirjoitti:

Lieköhän välttämättä edes mikään ulkomaalainen hakkeri(ryhmä). Voi hyvin olla joku mielestään ubercool-hakkerijonne teiniviiksihaituvineen, joka nyt selittää että ulkomaalaisia tässä ollaan ja rahaa tarvitaan.

Sitä vaan, että jos vaikka tuhansien tai kymmenientuhansien ihmisten tiedot on imuteltu Vastaamolta, voisin kuvitella, että siinä joukossa on ihmisiä aika lailla joka lähtöön. Jopa sellaisia, joilla ei ole mitään menetettävää, ja kun tekijä tulee ilmi, tältä voi hyvinkin lähteä henki. Kyllä se tekijä joskus selviää.

Jos tekijä olisi jollain tavalla jäljitettävissä kyllä poliisi olisi sen jo kuukaudessa tehnyt. Sata kävijää 24 tunnin välein antaa vielä sen verran paremmat jäljitettävyys mahdollisuudet, että todellinen amatööri olisi asialla, jos olisi rikosvastuun uhka. Tuskin kuitenkaan liian isoegoisista teininäpertelijöistä on kyse, kun ei vielä ole selvillä ja jaettu tietokaan ei johda kuin kahden vuoden takaisiin tietoihin.