Psykoterapiakeskus Vastaamon tietomurto - nyt oikeuskäsittelyssä

[Saaris]

"Seuraa alla olevia ohjeita lähettääksesi Bitcoineja osoitteeseemme. Jos vastaanotamme 200 euron arvosta Bitcoineja 24 tunnin kuluessa, tietonne poistetaan pysyvästi palvelimiltamme.

Jos emme vastaanota tätä maksua 24 tunnin sisällä, Teillä on vielä toiset 48 tuntia hankkia ja lähettää meille 500 euron arvosta Bitcoineja. Jos emme tämänkään jälkeen vastaanota rahojamme, tietonne julkaistaan kaikkien nähtäville, sisältäen nimenne, osoitteenne, puhelinnumeronne, henkilötunnuksenne, sekä tarkan potilaskertomuksenne joka sisältää mm. litterointeja keskusteluistanne Vastaamon terapeutin/psykiatrin kanssa."

****

Jaahas, kiristäjä kirjoittaakin nyt selvällä suomen kielellä. Eikä mikään google-käännös, vaan sujuvaa tekstiä. Panen myös merkille että hän teitittelee isolla T:llä, niin kuin m.m. pankeissa ja vakuutusyhtiöissä on tapana. Onko hänellä tällaista taustaa?

Pieni lapsus tyylillisesti siinä että kirjeen ensimmäisessä lauseessa hän sinuttelee vastaanottajaa.

Pystymmekö tämän perusteella päättelemään jotakin kirjoittajan iästä ja koulutustasosta? Itse veikkaisin 20-30 ja ainakin toisen asteen koulutus, todennäköisesti jonkinlaista kokemusta kaupalliselta alalta.

[guilty]

Joo Harmaasusi luin viestisi. Mä sain saman viestin uudelleen klo 20.10. Mun viestissä on hassu virhe alussa, en tiedä osaisko joku hakkeri kertoa mistä on kyse. Kun puhuttelu pitäisi olla

Herra XX sotu

niin mulla on

Rouva ei käytössä ei käytössä sotu

eli nimen paikalla ei käytössä. mun nimi on sähköpostissa väännellyssä muodossa, jonka suomenkielinen ymmärtäisi miehen nimeksi, mutta muunkielinen ehkä ei. Eli tän perusteella geneeriset kiristysviestit lähtisivät pelkän sähköpostiosoitteen perusteella eikä henkilötietojen. Voiko joku päätellä tästä jotakin?

[Keskitien Kulkija]

19.25 tuli kiristysviesti mulle ja 19.26 vaimolle, joka on käynyt marraskuun lopulla 2018 yhden kerran. Mä siis vaikka kuinka monta kertaa vuodesta 2014 lähtien. Kaveri soitti ja sanoi, että sillekin tuli. Eli 1+1 = nyt on lähtenyt vastaavia viestejä ja paljon ihmisille.

Olisko mun turvallista julkaista viesti täällä. Ei varmaankaan. Julkaisen osan silti.

***

"Seuraa alla olevia ohjeita lähettääksesi Bitcoineja osoitteeseemme. Jos vastaanotamme 200 euron arvosta Bitcoineja 24 tunnin kuluessa, tietonne poistetaan pysyvästi palvelimiltamme.

Jos emme vastaanota tätä maksua 24 tunnin sisällä, Teillä on vielä toiset 48 tuntia hankkia ja lähettää meille 500 euron arvosta Bitcoineja. Jos emme tämänkään jälkeen vastaanota rahojamme, tietonne julkaistaan kaikkien nähtäville, sisältäen nimenne, osoitteenne, puhelinnumeronne, henkilötunnuksenne, sekä tarkan potilaskertomuksenne joka sisältää mm. litterointeja keskusteluistanne Vastaamon terapeutin/psykiatrin kanssa."

****

Joo. Mitä tekisitte, jos saisitte tällaisen? Privana voitte pistää viestiä myös.

Jos kiristäjä on alunperin viestitellyt englanniksi, suomenkielinen viesti tarkoittaa todennäköisimmin sitä, että joku on ladannut osia tai koko tiedoston darknetistä ja yrittää kiristää sen tiedoilla rahaa. Jos 10Gb paketti on ollut salaamattomana jaossa, tarkoittaa se, että tekijä on tollo ja jostain syystä tämä vahvistaa mielikuvaa kotimaisesta tekijästä, joka on onnistunut löytämään epäpätevästi salatut tiedot palvelimelta, eli ei välttämättä ole mikään taitava hakkeri. Kiristäjänä on kokemattoman oloinen, mahdollisesti jopa on jotain kytkyjä Vastaamoon ja jota kautta on tullut haavoittuvaisuudesta tietoiseksi.

Maksaa ei kannata missään nimessä, koska jos tiedot ovat julkisesti olleet jaossa, on siellä ollut jo rottia jonoksi asti niitä lataamassa, eli ikävä kyllä peli siltä osin on jo pelattu. Luottokiellot päälle ja mahdollista ryhmäkannetta laatimaan Vastaamoa vastaan. Tuon kaltaisen tiedon kunnolla suojaamatta jättäminen on tuottamuksellista toimintaa ja ansaitsee vastuuseen joutumisen. Mutta miten käytäntö? Onko niin, että vaikka vahingonkorvauksia määrättäisiin maksettaviksi, osakeyhtiö hakeutuisi konkurssiin ja samat tyypit jatkaisivat uudella firmalla puhtaalta pöydältä?

Kiristäjä ja on alhaisinta ihmistyyppiä, mutta Vastaamollakin on vastuunsa tällaisen mahdollistajana.

[Saaris]

"Eli tän perusteella geneeriset kiristysviestit lähtisivät pelkän sähköpostiosoitteen perusteella eikä henkilötietojen. Voiko joku päätellä tästä jotakin?"

Ehkä voisi päätellä että niitä on niin monta ettei niitä ole keretty yksilöidä.

[petteri poloinen]

Aalto-yliopiston kyberturvallisuuden työelämäprofessori Jarmo Limnell haukkui eilen televisiossa kiristyksen raukkamaiseksi ja ehdottomasti oli sitä mieltä että ei pidä maksaa.

Ihmettelen tuota että millä kiristäjä tunnistaa bitcoin-maksut, jos esim. kiristyskirje lähetetään 40.000 asiakkaalle sähköpostilla ja maksuja tulee bitcoin-tilille x määrä, niin mistä he erottelevat kuka on maksanut ja kuka ei? Toinen juttu on se että ainakin väitetysti tietoja on jo paljon netissä ja mitään ei ole tehtävissä vaikka kiristäjä oikeasti poistaisi tiedot omalta osaltaan (jota epäilen vahvasti).

Jotenkin vaikuttaa että kiristäjä ei kuitenkaan ole kovin ammattimainen koska on käynyt elvistelemässä monessakin paikassa eikä vain ole laittanut uhkaamiaan tietoja nettiin ja odottanut hiljaa uhkauksen esitettyään että saa lunnaat.

[Seinänaapuri]

Nyt levinneet tiedot ovat jo niin laajalle levinneitä, että noita yrittäjiä saattaa ilmestyä vaikka kuinka monta.
Eli ei kannata maksaa, sama tekijä voi yrittää jopa useamman kerran samaa temppua.

Semmonen tulee väistämättä mieleen, että jos siellä oli jaettu sitä 10Gigan .taria tunnin ajan ja josta oli jo vuodettu uusia lisäuhreja, niin

a) miten voi **enää** maksamalla varmistaa että tiedot ei jo tullut siinä osittain downloadatussa .tarissa jaetuksi
b) uhkailusäköposteja voi nyt lähettää kuka tahansa muukin kuin alkuperäinen hakkeri

Joku laudalla osasi kommentoida että bitcoin-lompakon pitäisi olla eri lompakko joka maksulla tai muuten hakkeri ei voi tunnistaa kuka maksoi oman lunnaansa. En silti kehota vertailemaan vastaanottavien lompakkojen osoitteita, kun en tunne asiaa paremmin tai oikeastaan ollenkaan.

Edit: tarkennan ajatuksenjuoksua vielä, eli mutu-ajatus olisi että jos lompakon osoite on kahdella sama, niin silloin ei ainakaan kyseessä olisi alkuperäinen hakkeri, vaan vuotaneiden tietojen hyväksikäyttäjä. Mutta tämä siis mutua, en tunne asiaa. Ehkä niistä voisi verrata vaikka muutamaa viimeistä digittiä tms.

Semmonen tulee myös mieleen, että hakkeri huomasi jakaneensa vahingossa koko paketin, joten hän väsäsi hätäpäissään skriptin, joka kiristää nyt uhreja yksitellen, koska hakkeri pelkää että joku muu alkaa käyttää häneltä lipsahtaneita tietoja ja vesittää koko casen. Jotenkin tuntuu että maksamalla ei enää mitenkään voi saada täyttä mielenrauhaa. Mieluumin kannattaneis säästää sekin pari sataa.

[Harmaasusi]

https://www.mtvuutiset.fi/artikkeli/tie ... #gs.izrdem

Tietomurron kohteeksi joutuneen psykoterapiakeskuksen asiakkaille lähetetty kiristysviestejä – KRP neuvoo: Toimi näin!

Tietomurron kohteeksi joutuneen psykoterapiakeskus Vastaamon asiakkaille on lähetetty sähköpostitse kiristysviestejä.

Kiristysviestit on lähetetty potilastietokantaan murtautuneiden krakkereiden nimissä.

Asiakkaille lähetetyssä viestissä todetaan, että uhrin on maksettava kiristäjille, mikäli hän haluaa pitää henkilötietonsa turvassa. Viestissä pyydetään lähettämään 200 euron arvosta bitcoineja 24 tunnin kuluessa tai 500 euron arvosta bitcoineja, jos maksussa menee pitempään.

Viestissä uhataan, että muuten asiakkaan henkilötiedot ja tarkka potilaskertomus julkaistaan kaikkien nähtäville.

Varmuutta ei kuitenkaan ole siitä, ovatko itse murtautujat viestin takana, vai jokin muu taho, joka käyttää tietomurtoa kiristämiseen. Asiakkaiden väitettyjä potilaskertomuksia on jo joka tapauksessa julkistettu verkossa.

KRP:n rikosylikomisario Tero Muurman kertoo, että viestejä on tullut eri henkilöille.

– Mutta on tietysti mahdotonta sanoa että ovatko nämä kiristäjältä itseltään peräisin. Tietysti on mahdollista, että näitä vuodettuja tietoja hyödyntää myös muut tahot.

Muurman neuvoo, että kyseinen yhteydenotto on ehdottomasti dokumentoitava:

–Viesti on syytä säilyttää ihan sellaisenaan. Jos sitä ei ole mahdollista säilyttää niin sitten tulee ottaa vaikka kuvakaappaus siitä viestistä. Mutta mieluummin viesti tulee säilyttää sellaisenaan. ja sitten on syytä tehdä rikosilmoitus poliisille esimerkiksi käyttämällä sähköistä rikosilmoitusjärjestelmää.

[poikani]

Yksityishenkilöille on lähetetty kiristyssähköposteja – älä suostu vaatimuksiin, tee sähköinen rikosilmoitus, älä soita hätäkeskukseen

24.10.2020 klo 20.44
Keskusrikospoliisi

Poliisi on tietoinen yksityishenkilöille suoraan lähetetyistä kiristyssähköposteista, joissa lähettäjä uhkaa paljastaa yksityishenkilöiden tietoja. Sähköpostit liittyvät törkeään tietomurtoepäiltyyn ja törkeään yksityiselämää loukkaavan tiedon levittämiseen, joka on Keskusrikospoliisilla tutkinnassa.

"Kiristysviestin vaatimuksiin ei tule suostua", neuvoo rikoskokonaisuuden tutkinnanjohtaja, rikoskomisario Marko Leponen Keskusrikospoliisista.

Jos olet vastaanottanut terapiapalveluja tarjoavan yrityksen tietomurtoon liittyvän kiristysviestin, toimi näin:

• Tee sähköinen rikosilmoitus asuinpaikkakunnan poliisille. Kirjaa rikosilmoitukseen tarkasti kaikki tiedot lähettäjästä viestin vastaanottamisen ajankohtaan.
• Tallenna ja säilytä saamasi sähköpostit, viestit ja muut mahdolliset todisteet.

Tapaus on vakava ja herättää huolta etenkin asianomaisissa, mutta ole yhteydessä hätäkeskukseen kiristyssähköposteihin liittyen. Hätäkeskus ei voi auttaa tässä asiassa, ja asiaan liittyvät soitot kuormittavat hätäkeskusta.

https://www.poliisi.fi/tietoa_poliisist ... seen_94177

Poliisin olisi ehkä kannattanut lukea tiedote ennen lähettämistä:

Tapaus on vakava ja herättää huolta etenkin asianomaisissa, mutta ole yhteydessä hätäkeskukseen kiristyssähköposteihin liittyen.

[sidmeister]

Foliohatun alta kurkistin Vastaamo Oy:n taloustietoja, mistä selviää yhtiön viime vuoden tuloksen olleen ~430000 tappiollinen.

Tietomurto tapahtunut 2018/2019 taitteessa, mutta kiristys alkanut nyt.

Bitcoinin tämänhetkinen arvo ~440000€, mistä erilaiset transaktiomaksut käyttökelpoiseksi voisi olla vaikkapa tuon 10k€.

Melko todennäköisesti sattumaa, mutta oli pakottava tarve päästää julki.

[mrthaimaa]

Älkää ikinä, missään olosuhteissa, maksako bitcoinin murustakaan näille kusipäille. Kyseessä ovat aivan varmasti jotkut niistä sen 10 gigan tiedoston osittain imuttaneista. Kuten aiemmin mainitsin, esimerkiksi yksi giga sisältää aivan perkeleellisen paljon ihmisten tietoja. Toki siellä on sellaista dataa, joka työnantajalle päädyttyään voi tietää aika varmoja potkuja tai siirtoa johonkin paskahommiin. Hyvänä esimerkkinä eräs Puolustusvoimissa työskentelevä tuttuni – kyseinen perheenisä olisi totaalisessa kusessa, jos hänen vaimonsa terapeutille kertomat tiedot vuotaisivat.

Kuten joku jossain aiemmin osuvasti totesikin, tämä sotku on suomalaisittain törkein terrori-isku joka rauhanaikana on tapahtunut; informaatio on valtaa ja plutoniumia väärissä käsissä. Koskettaa niin monia ja piina tulee jatkumaan vuosia. Media hyssyttelee, vaikka luultavasti heillä on luotettavaa tietoa, että nyt piru on päässyt irti. Enää ei auta vaikka alkuperäinen kiristäjä saataisiin kiinni. Vahinko on jo tapahtunut ja nyt painajainen alkaa ottaa uusia kierroksia.

[ammattiamatööri]

Jaa nyt kun tuli nähtyä kuvakaappauksia näistä kiristysviesteistä niin ei ole kiristäjällä ainakaan lauserakenteet hallussa. Pilkkua pilkun perään ja teitä isolla teellä. Ei ole translate-kamaa sen verran okei Suomea eli joku on tuon itse kirjoittanut mutta jos itse hakkeri on tuon viestin takana niin on näköjään jäänyt äidinkielentunnit vähiin. Kyllä nyt ihan perus kieliopilla osaa jotenkuten sijoittaa pisteet ja pilkut oikeisiin paikkoihin.

Tulee kanssa mieleen, että itse rötöstelijä on kovin nuori. Voisin lyödä melkein pienen summan vetoa, että ikää on 20 max. 30 vuotta. Tietää ylilaudat ja tor-verkot sekä kuulostaa hyvin innokkaalta. Perinteisiä nuoruuden merkkejä. Kyllä tuo vielä miinaan astuu ja se on game over. Ei vaikuta miltään oikealta ammattilaiselta. Tietää kyllä hakkeroinnista ja osaa peittää jälkiään mutta samalla jatkuvasti tätä keissiä seuranneena joku amatöörimäisyyden haju tuoksuu nenään päivästä toiseen

[Saaris]

Foliohatun alta kurkistin Vastaamo Oy:n taloustietoja, mistä selviää yhtiön viime vuoden tuloksen olleen ~430000 tappiollinen.

Tietomurto tapahtunut 2018/2019 taitteessa, mutta kiristys alkanut nyt.

Bitcoinin tämänhetkinen arvo ~440000€, mistä erilaiset transaktiomaksut käyttökelpoiseksi voisi olla vaikkapa tuon 10k€.

Melko todennäköisesti sattumaa, mutta oli pakottava tarve päästää julki.

Mielenkiintoista. Vastaamon Ville Tapio ilmoittaa linkedinissä että hän aloitti uransa hakkerina.

Miten firmalla jonka perustajalla/johtajalla on IT-alan työkokemusta voi olla noin huono tietosuoja?

[petteri poloinen]

Muistelisin että Vastaamon liikevaihto on taloustiedoissa 14 miljoonaa ja väitetty kiristäjä puhui netissä jostain syystä 20 milioonan liikevaihdosta eli 400000 tappio ei ole kuin pyöristysvirhe Vastaamon liikevaihdolla ja luultavasti ole tähän asiaan merkityksellinen.

2018 tapahtunut murto voi olla jätetty käyttämättä tuolloin koska teleoperaattorien tiedot ainakin teoriassa poistuvat 12 kuukauden säilytyksen jälkeen joten on suhteellisen turvallista kiristää 2018 murron tiedoilla jos murtoa ei ole tuolloin heti havaittu ja poliisi lähtenyt jäljittämään murtautujaa.

[Postman]

Tor-verkossa on jaettu ainakin 200 asiakkaan tiedot ikäänkuin todisteeksi datan olemassaolosta. Veikkaan, että nyt jaettuja tietoja ovat muutkin alkaneet hyödyntää kiristystarkoituksessa. Siksi yksittäiset asiakkaat ovat saaneet uutisissa mainittuja 200-500 euron kiristyskirjeitä. Nyt siis saman materiaalin kimpussa voi olla useita kiristäjiä mikä tietysti tarkoittaa ettei touhu lopu vaikka yksi kiinni jäisikin.

[sidmeister]

Muistelisin että Vastaamon liikevaihto on taloustiedoissa 14 miljoonaa ja väitetty kiristäjä puhui netissä jostain syystä 20 milioonan liikevaihdosta eli 400000 tappio ei ole kuin pyöristysvirhe Vastaamon liikevaihdolla ja luultavasti ole tähän asiaan merkityksellinen.

En nyt sanoisi pyöristysvirheeksi, jos liikevaihto noin 14 miljoonaa, 260 työntekijää ja edellisenä vuonna 490k€ tulosta.