Vakava tietomurto - tuhansien suomalaisten tiedot nettiin

[Luupää]

.

Tiedot sen kuin vuotavat.

YLE:

Vakava tietomurto - tuhansien suomalaisten tiedot vuotivat internetiin
julkaistu tänään 5.11. klo 14:35, päivitetty tänään 5.11. klo 18:00

Yli 16 000 suomalaisen tiedot ovat vuotaneet internetiin sivustolle, jossa jaetaan tiedostoja. Joukossa on eri-ikäisiä ja eri aloja edustavia ihmisiä. F-Securen tutkimusjohtaja Mikko Hyppönen pitää vuotoa vakavana. Internetiin päätyi muun muassa ihmisten henkilöturvatunnuksia, osoitteita, puhelinnumeroita ja sähköpostiosoitteita.

Mikko Hyppösen mukaan vielä ei tiedetä, miten tiedot ovat päätyneet nettisivustolle. Näyttää kuitenkin siltä, että tiedot ovat peräisin verkkopalvelusta, jonne ihmiset ovat itse kirjanneet henkilötietojaan. Hän epäilee, että tiedot ovat päässeet vuotamaan huolimattoman käsittelyn vuoksi.

Viestintäviraston tietoturvaviranomaisen Cert-fi:n mukaan vielä on selvittämättä, ovatko tiedot aitoja ja mistä ne on hankittu.

Hyppönen pelkää, että tietoja voidaan käyttää väärin.

- Näillä tiedoilla voidaan tehdä kiusaa ja potentiaalisesti väärinkäytöksiä. Esimerkiksi esiintymään toisen ihmisen nimissä.

Hyppösen mukaan viranomaisiin on oltu jo yhteydessä, ja vuotanutta tiedostoa ollaan poistamassa sivustolta. Hänen mukaansa viranomaiset ovat yhteydessä ihmisiin, joiden tietoja on päätynyt sivustolle.

- Tiedot saadaan kyllä poistettua tuolta sivulta, missä ne nyt ovat, mutta aika monella on jo kopio tästä 16 000 rivin tiedostosta, Hyppönen arvioi.

Vuoto tuli ilmi lauantaina. Vastaavat tapaukset ovat Suomessa harvinaisia.

Keskisuomalainen:

KRP tutkii tietovuotoa törkeänä tietomurtona

Mikko Hyppönen.

Eriikka Hienola, STT
17:31 (Päivitetty 18:36)

Keskusrikospoliisi (KRP) on aloittanut esitutkinnan ilmeisesti Suomen suurimmassa henkilötietovuotojutussa. Nettiin on vuodettu noin 16 000 suomalaisen henkilötiedot. Asiaa tutkitaan törkeänä tietomurtona.

Henkilötiedoista selviävät muun muassa ihmisten henkilötunnukset, koti- ja sähköpostiosoitteet sekä kännykkänumerot. Lisäksi on kerrottu joidenkin henkilöiden ammatit.

Mukana on muun muassa yli sata jyväskyläläistä henkilötietoa ja muutamia muualla Keski-Suomessa asuvien tietoja.

- Kyseessä on Suomen suurin henkilötietovuoto, arvelee tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen.

Toistaiseksi ei tiedetä, kuka vuodon takana on tai mistä henkilötiedot on viety.

Hyppönen uskoo, että vuodon takana oleva taho saadaan selville.

- Johtolankoja on useita. Varmasti saadaan selville, mistä nämä tiedot on viety.

Hyppönen uskoo, että kyseessä on kotimainen vuoto.

Hänen mukaansa ilmeisesti vuotaja ilmoitti asiasta eräälle keskustelufoorumille sekä lähetti sähköpostia Yleisradiolle, joka kertoi tietovuodosta ensimmäisenä.

[ABC]

Ko. listalla on ainakin yhden kuolinpesän tiedot, joten mitä ilmeisimmin tiedot ovat peräisin jostain viranomaislähteestä, pankista tms. instanssista.

[Damien]

Virtuaalinen lähipoliisi, ylikonstaapeli Marko Forss jakoi Facebook-profiilissaan linkkiä suomalaiselle keskustelupalstalle, jossa oli latauslinkki tänään nettiin vuotaneeseen 16 000 ihmisen henkilötietokantaan.

Tiedot vuotivat keskustelupalstalle hieman ennen yhtä, ja palvelun ylläpito poisti keskusteluketjun iltapäivällä viiden jälkeen. Forss julkaisi linkin viestiketjuun Facebookissa kello 15:14, joten kuka tahansa pääsi lataamaan henkilötietolistan kahden tunnin ajan Forssin Facebook-profiiliin lähetetyn linkin kautta.
Kuuden jälkeen koko keskustelupalsta suljettiin hetkellisesti ja puoli seitsemän jälkeen F-Securen tutkimusjohtaja Mikko Hyppönen kertoi Twitter-viestissään, että tiedosto on saatu poistettua tiedostonjakopalvelusta.

MikroPC ei tavoittanut lauantai-iltana ylikonstaapeli Marko Forssia kommentoimaan syytä, miksi hän jakoi linkkiä Facebookissa. Facebookissa hän kommentoi kuitenkin asiaa kysyneille seuraavasti: "ihan sama mainostaa tai ei, niin ikinä ei saa enää kokonaan pois" sekä "Mieluummin otan vinkkejä vastaan..."

Päivitys kello 19:46: Ylikonstaapeli Forss otti yhteyttä ja kertoi julkaisseensa Facebook-profiilissaan syyt linkin jakamiselle. Näin Forss kirjoittaa:

Koska julkaisemani linkki herätti ärsyyntymistä, niin tässä syitä sen julkaisuus:

-linkin oli jo useiden hallussa ja ne ketkä haluavat tehdä sillä pahojaan löytävät sen edelleen eri palveluista

-mahdollisuudet selvittää tekijä esim ip-osoitteen kautta ovat lähtökohtaisesti todella heikot

-poliisiprofiiliani seuraa useita ylilaudan aktiiveja. Heidän tsekatessa langan voidaan saada asiantuntijatietoa mahdollisesta tekijästä

-myös "normaalit" atk-taidot omaavat löysivät listan ja pystyivät heti ilmoittamaan poliisille mitä kautta mahdollisesti tiedot ovat päätyneet listalle -> näin kävikin, koska jo nyt tullut usealla listalta olleelta tietoja

-lähtökohtaisesti on eri asia, että poliisi julkaisee työnsä puolesta linkin, kuin että sen tekee kansalainen muuten vaan

Mikropc

[VoDKa]

Sain tuon listan käsiini vajaa tunti sitten ja tuli selailtua sitten sieltä mahdollisten tuttujen nimet. Yksi tuttu löytyi, sekä yksi tutuntuttu. Nopean varmistussoiton jälkeen kävi ilmi, että hetut olivat oikeita.

Yhteyttä sen sijaan näiden kahden ihmisen väliltä oli vaikea keksiä. Irkissä ainakin kiertää huhu, että lista olisi TTS:n lista. Ainakin toisella löytämälläni ihmisellä on ollut tekemistä ko. tahon kanssa, joten ei ihan mahdoton ajatus siis.

[Ruu]

nyt tavallinen taapertaja jää miettimään että näkyykö oma nimi tuolla vai ei..

[Damien]

Alkuperäinen kirjoittaja vesakk
Kuten foorumilla on spekuloitu, on todennäköistä, että pieni osa listasta sisältää OSKU ry:ltä tietomurron yhteydessä hankittuja henkilötietoja.

OSKU ry on ollut yhteydessä ko. henkilöihin ja haluaa samalla kiittää tätä viestiketjua, jonka kautta saimme vihjeen asiasta

Olemme yhteydessä poliisiin, joka asiaa tutkii ja siitä tiedottaa. Tulemme myös tiedottamaan henkilöitä, joita asia koskee heti kun asiassa ilmenee jotain uutta.


Suomen Opiskelija-Allianssi - OSKU ry.

Murobbs

Tuosta linkistä klikkaamalla edelliselle sivulle löytyy linkki listaan.
Lista kylläkin on toiminnassa alle vuorokauden ja siinä on vain syntymäajat ja etunimet mutta
sillä voi tarkistaa löytyykö sieltä itse. Jos ei oikeaa listaa löydä.

tjaah... lista löytyy jo samaltakin sivulta.

[Luupää]

.

http://www.mikropc.net/kaikki_uutiset/b ... de/a717492

Blogiväite: Työtehoseura on suomen suurimman henkilötietovuodon lähde

16 000 suomalaisen henkilötiedot ovat vuotaneet nettiin. Tietovuoto tapahtui Markus Ossin blogin mukaan mahdollisesti Työtehoseuran kautta.

Eräs MikroPC:n lähde, jonka tiedot ovat vuotaneiden henkilötietojen joukossa, vahvistaa osallistuneensa Työtehoseuran koulutukseen.

Blogissa kerrotaan: "Muropaketin ja Ylilaudan etsivät ovat tutkineet listaa nyt pari tuntia ja tällä hetkellä näyttää siltä, että lista on peräisin Työtehoseurasta. Ilmeisesti eräs Muropaketin keskustelijoista on ollut postituslistalla, jossa alkuperäistä listaa on jaettu Excel-muodossa."

MuroBBS-keskustelupalstalla arveltiin tänään ennen iltakahdeksaa, että tiedot olisi hankittu Työteuhoseuran käyttämän Moodle-palvelun haavoittuvuuden kautta.

MikroPC:n selvityksen mukaan Työtehoseuran sähköinen mcampus.fi-järjestelmä ilmeisesti käyttää juuri MuroBBS:ssä kerrottua Moodle-järjestelmää.

MikroPC kertoi asiasta Työtehoseuran tietohallintopäällikkö Tommi Pöyriälle sähköpostitse ja tekstiviestitse välittömästi kahdeksan jälkeen illalla. Artikkelin julkaisuhetkeen kello 23:45:een mennessä Työtehoseurasta ei ole kommentoitu tietovuotosyytöksiä.


Älä syötä henkilötietojasi "tarkistuspalveluihin"!

Netissä leviää jo nyt useita "tarkistuspalveluita", joista voi tarkistaa, löytyykö omat tiedot 160 000 vuotaneen käyttäjän joukosta.

Kannattaa muistaa, että henkilöturvatunnuksen ja muiden henkilötietojen kertominen satunnaisille nettisivustoille ei välttämättä ole kovin fiksua: mikään ei takaa sitä, etteikö "tarkistuspalvelu" käyttäisi tietoja väärin.

Lisäksi henkilötietojen käyttö tällaisissa palveluissa ei välttämättä ole laillista. Henkilötietolain 8 § mukaan henkilötietoja saa käsitellä vain tarkoin rajatuilla syillä.

Hpguru.fi-sivusto on julkaissut listan, josta voi tarkistaa oman etunimensä ja syntymäaikansa. Jos tiedot täsmäävät, henkilötiedot saattavat olla vuodettujen joukossa. Mikään ei kuitenkaan takaa listan todenmukaisuutta, tai sitä, että kyseessä olisi samana päivänä syntyneestä etunimikaimasta.
Tekninen tausta

Työtehoseuran palveluntarjoajana on Nebula. Www-palvelimena toimii Linuxin päällä pyörivä Apache. Työtehoseuran sähköinen oppimisjärjestelmä Moodle toimii Mediamaistereiden palvelimella.

Moodlesta paikattiin lokakuun loppupuolella useita haavoittuvuuksia, joista useat olivat vakavia, ja ainakin yksi paikattu tietoturva-aukko mahdollisti niin sanotun cross site scripting -hyökkäyksen (Wikipedia).

Työtehoseura tarjoaa mcampus.fi:n kautta esimerkiksi kuljetus-, logistiikka-, maarakennus- ja puualan opetusta.

Työtehoseura ei ole ainoa taho, jonka tietoja on saattanut vuotaa. Myös Suomen Opiskelija-Allianssi Osku ry. tunnustaa, että osa nettiin päätyneistä henkilötiedoista "on todenäköisesti" peräisin tietomurron yhteydessä saaduista tiedoista. Lisäksi F-Securen Hyppönen mainitsee Twitterissä uskovansa, että kyseessä saattaa olla useampi yhdistetty henkilötietolista.


Tiedot poistettu jo useilta palvelimilta

F-Securen tutkimusjohtaja Mikko Hyppönen kertoo Twitter-tilillään, että 160 000 suomalaisen henkilötiedot sisältänyt tiedosto on poistettu 2sharedin ja Hotfilen palvelimilta. Aiemmin Hyppönen kertoi, että lista poistettiin Mediafiren palvelimelta, joka oli tiedoston alkuperäinen julkaisupaikka.

Heh, nollien lukumäärä vähän vaihtelee tuon 16 perässä mutta aina roiskuu kun rapataan.

[Omerta]

Se listahan on edelleen netissä, eikä sitä tulla ikinä saamaan sieltä pois.

Mutta huoli pois, jos nimesi ei ole listassa, voit olla huoleton. Jos nimesi on listassa, voit olla huoleton, koska et pysty mitenkään estämään mahdollisia väärinkäytöksiä.

[VoDKa]

Jännällä tavalla nousee vuotaneiden tietojen määrä tuossa uutisessa. Alussa puhutaan 16 000 nimestä, loppupuolella luku mainitaan kahdesti, mutta ylimääräisen nollan kanssa - 160 000.

Mitenkähän näissä tapauksissa voidaan toimia, kun nimiä on vuotanut kuitenkin tosi iso kasa ja vieläpä noita hetujakin. Tullaanko listalla oleville tarjoamaan uutta hetua tulevaisuudessa?

[rosamarine]

Tsekkasin listan myös ja totesin, että mun henkilötiedot ei ole ainakaan vielä listalla. Ikävä todeta, mutta henkilötiedot ovat niin vapaata riistaa kuin olla ja voi. Olihan siinä listalla useampikin tuttu, huh huh. Ja kuinka moni senkin listan latasi koneelleen, useampi kuin kymmenen ensimmäistä.

[ABC]

Tämä oli ensimmäinen laaja henkilötunnuksia sisältänyt tietovuoto, mutta ei varmasti viimeinen. Odotan viranomaisilta ja vastaavilta tahoilta pikaisia toimia sen varmistamiseksi, ettei pelkkää henkilötunnusta ilman muuta tunnistautumista (henkilötodistus, pankki, puhelin tms.) voi jatkossa käyttää henkilön identifioimiseen.

Aloittaa voisi vaikka kieltämällä henkilötunnuksella myönnettävät pikavipit, sekä ohjeistamalla valtion virastoja, laitoksia, seurakuntia, pankkeja ym. olemaan luovuttamatta tietoja puhelimessa henkilötunnusta vastaan. Tämä tietysti hankaloittaa asioimista, mutta minkäs teet. Tietoyhteiskunta on tullut jäädäkseen, ja suomalaiset on yllätetty ns. housut kintuissa. (Useat asiantuntijat ovat jo vuosia varoitelleet tällaisesta kehityksestä ja kehoittaneet varautumaan siihen, mutta minkäs teet, kun lakeja säätävät mummot ja papat, jotka eivät erota ssh:ta ppt:stä.)

[Luupää]

.

Vähän ohjeistusta.

MikroPC:

Näin saat selville, jouduitko uhriksi

Netissä leviää useita "tarkistuspalveluita", joista voi tarkistaa, löytyykö omat henkilötiedot 16 000 nettiin vuotaneen henkilötiedon henkilötiedon joukosta.

Henkilöturvatunnuksen ja muiden henkilötietojen kertominen satunnaisille nettisivustoille ei ole fiksua: mikään ei takaa sitä, etteikö "tarkistuspalvelu" käyttäisi tietoja väärin.

Hyvänä esimerkkinä toimii irkkaajat.org-sivuston palvelu. Jos syötät sivustolle henkilötietosi (tai mitä tahansa muuta tietoa), palvelu huomauttaa: "Jos tosiaan kirjoitit äskeiseen formiin henkilötunnuksesi, olet riski omalle tietoturvallisuudellesi. Ole hyvä ja siirry hitaasti pois tietokoneen äärestä."

Lisäksi henkilötietojen käyttö tällaisissa palveluissa - jotka todella tekisivät sen, minkä väittäisivät - ei välttämättä ole laillista. Henkilötietolain 8 § mukaan henkilötietoja saa käsitellä vain tarkoin rajatuilla syillä.

Kuitenkin esimerkiksi Hpguru.fi-sivusto on julkaissut listan, josta voi katsoa, löytyykö oma etunimi ja syntymäaika. Jos tiedot täsmäävät, henkilötiedot saattavat olla vuodettujen joukossa.

Listan todenmukaisuudesta ei ole täyttä varmuutta. Lisäksi listalla voi ainakin teoriassa olla samana päivänä syntynyt etunimikaima.


Turvallisempi tarkistustapa vaatii käsityötä

Toinen palvelu sisältää listan tarkistussummia, jotka koostuvat henkilötunnuksen ja pienellä kirjoitetun sukunimen MD5-tarkistussummasta (Wikipedia).

MD5-tarkistussummasta ei voi saada selville alkuperäisiä tietoja, mutta tarkistussumma on kuitenkin tehtävä syöttämällä tiedot jollekin MD5-generaattorille.

Esimerkiksi Järvinen-sukunimiselle henkilölle, joka on syntynyt 1. toukokuuta 1966, pitäisi palveluun syöttää "010566järvinen". Jos tuloksena oleva 32-merkkinen tarkistussumma löytyy listasta, on mahdollista, että henkilötiedot ovat nettiin vuotaneiden joukossa.

Pienellä kirjoitetusta sukunimestä ja syntymäajasta koostetun MD5-summan voi luoda esimerkiksi tämän nettipalvelun avulla.

Kannattaa kuitenkin muistaa, että henkilötietoja ei kannata kertoa millekään nettipalvelulle - ei edes "tietoja tarkistaakseen"!

MikroPC ei suosittele yhtäkään edellä julkaistua linkkia. Linkkien klikkaaminen ja mahdollisten henkilötietojen syöttämnen tapahtuu täysin käyttäjän omalla vastuulla.

[Damien]

Tullaanko listalla oleville tarjoamaan uutta hetua tulevaisuudessa?

Tokkopa vaan. Hommaa tuossa olisi ja sekin olisi suurimman osan kohdalla ihan turhaa.

Monen kannattaisi miettiä minne tietojaan jakaa mutta myös samalla muistaa ettei se nimien,
hetujen, osoitteiden ja puhelinnumeroiden hankkiminen ole tänä päivänä homma eikä mikään.
Eikä se hetu sen enempää mikään Excalibur ole.

Viime vuonna väestörekisterikeskuksen tietosisältöyksikön johtaja Tytti Ronkaisen haastattelusta Ylellä:

Ronkaisen mukaan syitä tunnuksen muuttamiselle voi olla kolmenlaisia.

- Todistajien suojeluohjelma, toistuva henkilötunnuksen väärinkäyttö ja sukupuolenvaihdos ovat syitä, jolloin henkilötunnuksen muuttaminen voi tulla kyseeseen.

Yle uutiset

Jos jollekulle alkaisi toistuvasti tippua aiheettomia laskuja yms. häirintää, hetun vaihto voisi siis
tulla kysymykseen.

[Damien]

Viime vuoden kesällä Hesarista:

Nyt vastaavan vainon kohteilla on uusi suojautumiskeino: henkilötunnuksen muuttaminen. Maaliskuun alusta uuden henkilötunnuksen on voinut saada, jos se on ehdottoman välttämätöntä "henkilön suojelemiseksi tilanteissa, joissa hänen terveyteensä tai turvallisuuteensa kohdistuu ilmeinen ja pysyvä uhka". Muutokset vaativat poliisin arvion uhan suuruudesta.

Lisäksi henkilötunnuksen saa nyt muuttaa, jos se on joutunut vääriin käsiin ja aiheuttaa siksi merkittävää haittaa tunnuksen oikealle haltijalle

Aiemmin uuden tunnuksen on voinut saada sukupuolenvaihdoksen yhteydessä.

Lakimuutosta oli suunniteltu pitkään, eikä sillä lainsäädäntöneuvos Terhi Lehtosen mukaan ole mitään tekemistä Sellon tapahtumien kanssa.

Uusilla perusteilla yhtään henkilötunnusta ei ole vielä myönnetty. Se voi johtua siitä, että mahdollisuutta ei tunneta. Moni viranomainen ja järjestö ei vielä tiedä koko uudistuksesta, joten tieto tuskin on kantautunut hätää kärsivien korviin.

HS
Tummennukset miun.

[VoDKa]

Kiitos Damien tuosta uutisesta.

Toivottavasti media ja lehdistö ottaa tuon tiedon nyt huomioon ja pitää siitä sen verran mekkalaa, että edes osa listalla olevista saa tuon tiedon itselleen asti. Lista on sen verran laaja ja laajasti levinnyt, että olen täysin varma siitä, että joku on sieltä jo nimiä ja hetuja hyväksikäyttänyt, tai ainakin yrittänyt käyttää. Ja kun tuo lista ei tosiaan tule netistä koskaan katoamaan, niin ainakin itse pitäisin ehkä fiksuimpana lopputuloksena kuitenkin hetun vaihtamista - säästyisipähän tulevaisuudessa ikäviltä yllätyksiltä isojen laskujen ja muiden muodossa. En luottaisi pätkääkään siihen, että vaikka laskun/velan olisikin tehnyt ulkopuolinen, että se anteeksiannettaisiin sille, jonka hetua siihen on käytetty. Muistaakseni jotain tälläisiä tilanteita on jo ollutkin, että hetun omistaja on joutunut silti maksumieheksi vaikka ei ole mitään tehnyt?