Lue keskustelun säännöt.
Vastaamo joutuu maksamaan puolen miljoonan euron GDPR-sakot
25.10.2020 |
H&M sai 35 meurin sakot, jotka maksoivat. Posti sai 100 000 euron GDPR-sakot paljon paljon vähäpätöisemmästä rikkeestä ja siitäkin ovat valittaneet, mutta todnäk joutuvat maksamaan. Vastaamo saa todella kovat sakot, se on ihan varma. Se on vaan niin anteeksi antamatonta, että noilla oli tietokannan userina root ja salasanana root ja tiedot tietenkin täysin salaamattomana. Kanta löytyi ilmeisesti täysin kaikkien käytettävissä olevalla ilmaisella Shodan-hakukoneella, joten tekijä voi hyvinkin olla vaikka 14 vuotias.
Kommentit (13)
Taisi vaan sattua vuoto ennen GDPR voimassaoloa.
Sisältö jatkuu mainoksen alla
Sisältö jatkuu mainoksen alla
Ei mitenkään riitä puoli miljoonaa. Vähintään kymmenellä voi kertoa tuon summan.
Veikkaanpa Vastaamon taseen olevan valmiiksi niin kuivan ettei sillä ole mitään väliä. Kuppi nurin ja uutta matoa koukkuun.
Vierailija kirjoitti:
Taisi vaan sattua vuoto ennen GDPR voimassaoloa.
Voi olla.
GDPR tuli voimaan keväällä 2018.
Ja tietomurto tehtiin myös v. 2018, uutisten mukaan.
Siitähän ei ole tietoa mihin vuonna 2018 tuo ensimmäinen tietomurto tehtiin.
Vierailija kirjoitti:
Veikkaanpa Vastaamon taseen olevan valmiiksi niin kuivan ettei sillä ole mitään väliä. Kuppi nurin ja uutta matoa koukkuun.
Jaa, vuoden 2018 liikevoitto oli 14 miljoonaa euroa.
Sisältö jatkuu mainoksen alla
Vierailija kirjoitti:
Vierailija kirjoitti:
Veikkaanpa Vastaamon taseen olevan valmiiksi niin kuivan ettei sillä ole mitään väliä. Kuppi nurin ja uutta matoa koukkuun.
Jaa, vuoden 2018 liikevoitto oli 14 miljoonaa euroa.
Liikevoitto? Ihan oikeasti kun viime vuonna ei edes liikevaihto ollut tuota?
Vierailija kirjoitti:
Vierailija kirjoitti:
Veikkaanpa Vastaamon taseen olevan valmiiksi niin kuivan ettei sillä ole mitään väliä. Kuppi nurin ja uutta matoa koukkuun.
Jaa, vuoden 2018 liikevoitto oli 14 miljoonaa euroa.
Oli vielä vuonna 2018 voittoa tuottava yritys, mutta jo vuonna 2019 merkittävästi tappiollinen.
Sisältö jatkuu mainoksen alla
Haiskahtaa jollekin tuo kauppakin millä vuonna 2019 myytiin pääomasijoittajille 70 % firmasta. Sen jälkeen firman voitot muuttui tappioiksi.
Ja tiesivätkö ostajat tietomurrosta vai jätettiinkö kertomatta
kun kauppoja tehtiin ?
No niillä ei ole omaisuutta: vuokratilat ja tietokoneita. Konkka tulee. Sit joku perustaa uuden puljun. Vaikka pörriäinen
Sisältö jatkuu mainoksen alla
En usko että kyseessä on tietokantavuoto. Vuodetut tiedot ovat tekstitiedostoina yksi per potilas. Ei vaikuttaisi tietokantadumpilta vaan enemmänkin käyttöliittymän kautta skriptillä luetulta ja tekstitedostoon viedyltä.
Eikä root/root myöskään kuulosta yleisesti käytössä olevien tietokantojen oletustunnukselta. Se voisi olla linux-koneen admin tunnus, mutta toisaalta Vastaamoa itsekin hakkeroineet tietosuoja-asiantuntijat kertovat että siellä on muun muassa niin vanha käyttöjärjestelmä että siihen ei saa enää päivityksiä. Tuo ei kuulosta linuxilta vaan enemmänkin Windows-palvelimelta. Windowsissa ei käytetä root tunnusta, eli tuo väite lienee valetta.
Niin ja edelleen nuo asiantuntijat kertoivat että pääsy tietojärjestelmään on auki maailmalle. Ei siis tarvita kuin yksi terapeutti jolla on helposti arvattava käyttäjätunnus/salasana-pari ja sen avulla nuo tiedot saa kuka tahansa haettua.
Kyseessä ei välttämättä ole gdpr rikkomus ollenkaan.
Vierailija kirjoitti:
En usko että kyseessä on tietokantavuoto. Vuodetut tiedot ovat tekstitiedostoina yksi per potilas. Ei vaikuttaisi tietokantadumpilta vaan enemmänkin käyttöliittymän kautta skriptillä luetulta ja tekstitedostoon viedyltä.
Eikä root/root myöskään kuulosta yleisesti käytössä olevien tietokantojen oletustunnukselta. Se voisi olla linux-koneen admin tunnus, mutta toisaalta Vastaamoa itsekin hakkeroineet tietosuoja-asiantuntijat kertovat että siellä on muun muassa niin vanha käyttöjärjestelmä että siihen ei saa enää päivityksiä. Tuo ei kuulosta linuxilta vaan enemmänkin Windows-palvelimelta. Windowsissa ei käytetä root tunnusta, eli tuo väite lienee valetta.
Niin ja edelleen nuo asiantuntijat kertoivat että pääsy tietojärjestelmään on auki maailmalle. Ei siis tarvita kuin yksi terapeutti jolla on helposti arvattava käyttäjätunnus/salasana-pari ja sen avulla nuo tiedot saa kuka tahansa haettua.
Kyseessä ei välttämättä ole gdpr rikkomus ollenkaan.
Lue uusin Petteri Järvisen blogi, siellä hän kertoo, että tietokanta julkisessa verkossa ja salasana ja tunnus root/root. Ei kannata arvailla, ei kukaan millään windowskoneilla mitään pyöritä ja toisekseen esim mysql-kannan oletukset taitavat olla juurikin root/root. Suurin kämmihän tuossa on tehty kun kanta oli täysin salaamaton.
Sisältö jatkuu mainoksen alla
Jos kerran mitään salausta ja suojausta ei ole ollut, onko kyseessä edes ”tietomurto”?
Konkussi uhkaa