Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti

Otteita uutusjutusta:

Vastaamon asiakastietokannan varastaminen johtui palvelimelle auki jätetystä tietoliikenneportista, joka oli auki 1,5 vuoden ajan.

Vastaamon potilastietokanta rakennettiin Linux/MySQL-pohjalle, ja sen toteuttivat yrityksen palveluksessa olleet it-työntekijät NN ja MM vuonna 2015. Heidät siirrettiin tehtävistään syrjään tutkinnan alettua.

Tietokannan internetiin näkyväksi tekevä MySQL-tietokannan käyttämä tietoliikenneportti 3306 jäi avoimeksi marraskuussa 2017 palvelimelle tehtyjen muutostöiden jälkeen. Syynä uskotaan olleen it-työntekijä NN:n tekemät muutokset, joissa palvelimen palomuurin määrittelyjä muutettiin etäkäyttöyhteyden ylläpitoa tai kehitystoimia varten.

Tietoliikenneportti viittaa tietoliikenteessä käytettyyn ”ohjelmalliseen väylään”, ei varsinaiseen fyysiseen porttiin.

Asiakasrekisterin tietoja ei ollut salakirjoitettu, ja lisäksi niiden salasanasuojaus oli ilmeisen heikko. Vastaamoa kiristänyt rikollinen väitti lokakuisissa julkisissa kirjoituksissaan internet- ja darknet-foorumeille sekä käyttäjätunnuksen että salasanan olleen root, eli oletussalasana. Ville Tapio on kiistänyt tiedon. Ilmeistä on, että suojaus on kuitenkin ollut riittämätön.

NYKYTIEDON mukaan Vastaamoon kohdistui kaksi tietomurtoa. Ensimmäinen tapahtui marras–joulukuussa 2018 ja toinen perjantaina 15.3.2019.

Ensimmäisen tietomurron ajankohta on tietoturvayhtiö Nixun teknisen tutkinnan mukaan 20.12.2018, mistä kielisi puutteellinen lokimerkintä.

Ilta-Sanomat Digitoday kävi kiristyksen alkupäivinä kiristäjän kanssa sähköpostikirjeenvaihtoa, jossa kiristäjä väitti varastaneensa tietokannan automatisoidusti aikaisemmin, marraskuussa 2018. IS ei julkistanut kiristäjän väitteitä sellaisinaan.

Toinen, 15.3.2019 tapahtunut murto huomattiin nopeasti, sillä sen yhteydessä Vastaamon koko palvelu kaatui. Samalla myös koko tietokanta deletoitiin, ja palvelimelle jätettiin kiristysviesti.

Vastaamon it-työntekijät NN ja MM väittävät kertoneensa murrosta tuoreeltaan Ville Tapiolle, joka käski näiden vaieta. Ville Tapio itse sanoo, että tieto pimitettiin häneltä.

Ville Tapio sanoo lausunnossaan oikeudelle, että hänen oli vaikea saada ongelman tilannekuvaa NN:ltä ja MM:ltä. 15.3. oli määrä olla maksupäivä Vastaamon palkoille ja laskuille. Maksuja päädyttiin siirtämään.

Tuhoutunut tietokanta palautettiin varmuuskopioista ja järjestelmä palautettiin toimintaan maanantaina 18.3., mutta 5.3.–14.3.2019 kirjatut merkinnät jäivät puuttumaan.

15.3. kello 11.18 henkilöstölle lähettämässään sähköpostiviestissä Tapio kertoo palvelimen kaatuneen. Kello 15.36 lähettämässään viestissä Tapio sanoo laskutuksen siirtyvän maanantaille. It-työntekijät työskentelivät ilmeisen ahkerasti viikonlopun tietoja palauttaessaan.

20.3. henkilöstölle lähettämässään sähköpostiviestissä Tapio sanoo, että virhetilanne ei johtanut tietojen vuotamiseen ulkopuolelle. Näin on kirjattu myös Valviralle huhtikuussa lähetettyyn poikkeamailmoitukseen tapahtumasta.

Avoin tietoliikenneportti suljettiin 15.3. tapahtumien jälkeen. Nixu selvitti asian käyttämällä internetiin päin avoimia järjestelmiä kartoittavan Shodan-hakukoneen hakuhistoriaa.

AUKI on yksi suuri kysymys. Miksi kiristys tuli julki vasta lokakuussa 2020, jos se alkoi jo keväällä 2019?

Yksi mahdollisuus on, että kyseessä oli ”ensimmäisen sukupolven” kiristys, jossa tiedot salakirjoitetaan ja niistä vaaditaan lunnaita, mutta tietoja ei varsinaisesti varasteta. Kukaan ulkopuolinen ei olisi välttämättä katsonut tietoja.......

Vastaamon palvelimen portti 3306 oli auki nettiin 1,5 vuotta ja kiristys alkoi jo 2018 – julkisuuskatastrofia viivytettiin viimeiseen asti https://www.is.fi/digitoday/tietoturva/art-2000007794906.html