Vastaamo

01 marras 2022

Psykoterapiakeskus Vastaamon tietomurto on yksi Suomen suurimpia rikostapauksia, ainakin jos sitä mitataan asianomistajien lukumäärällä!

Muun muassa tietoturva-asiantuntija Mikko Hyppönen ja apulaistietosuojavaltuutettu Jari Råman kuvasivat tapausta kansainvälisellä tasolla poikkeukselliseksi tietomurroksi .

Poikkeuksellisen tapauksesta tekee arkaluontoisten potilastietojen häikäilemättömän kiristyskäyttö.

Nyt Vastaamon tietomurtoon liittyvässä esitutkinassa on tehty läpimurto. Todennäköisin syin epäilty henkilö vangittiin viime torstaina poissaolevana.

Toisin sanoen kukaan ei kuitenkaan istu tällä hetkellä tutkintavankeudessa!

Tämä video pureutuu Vastaamon tietomurtovyyhtiin ja perehtyy siihen, millainen henkilö tämä epäilty hakkeri on!

Yritän myös artikkelin lopussa selvittää, mitkä tekijät saivat aikaan sen, että hakkerin henkilöllisyys lopulta saatiin selville.

Voit katsoa artikkelin myös videomuodossa:

Psykoterapiakeskus Vastaamolla oli huono maine

Ennen kuin mennään videon varsinaiseen aiheesen, eli tietomurrosta tuomittuun henkilöön, niin on varmasti syytä käydä läpi, miten juttu aikanaan eteni ja minkälainen firma psykoterapiakeskus Vastaamo oikein oli.

Joku voi pitää tätä asioiden kertauksena, mutta mun mielestä asiat on aina syytä taustoittaa huolellisesti. Näin katsoja saa mahdollisimman hyvän kokonaiskuvan aiheesta.

Psykoterapiakeskus Vastaamo oli vuonna 2008 perustettu yksityinen suomalainen terveyspalveluyritys, joka tarjosi psykoterapiaa.

Vastaamon perustivat teologi, psykoterapeutti Nina Tapio yhdessä poikansa, ohjelmistokehittäjä Ville Tapion kanssa.

Vastaamon liikevaihto kasvoi vuosien saatossa huimasti ja potilaita riitti. Yritys oli kuitenkin monien alalla toimivien psykoterapeuttien keskuudessa huonossa maineessa!

Esimerkiksi psykoterapeuttien kuvauksissa mainittiin sellaisia psykoterapian suuntauksia, joihin näillä terapeuteilla ei ollut lain mukaista pätevyyttä.

Myös vastaamon harjoittamaa markkinointia kritisoitiin ja sitä pidettiin alalle sopimattomana ja liian agressiivisena. Tällä viitataan ainakin siihen, että Google-hakusanamainonnassa Vastaamo mainosti muiden terapiapalveluiden nimellä!

Eli jos henkilö haki jotain muuta yritystä ja klikkasi ensimmäisestä hakutuloksesta, hän päätyikin vastaamon sivulle.

Vastaamolla oli myös tapana uhata kritiikkiä esittäviä tahoja oikeustoimilla. Näihin tahoihin kuuluivat myös yrityksen omat työntekijät!

Sinänsä vastaamon toimintaa valvottiin viranomaisten puolesta täysin normaalilla tavalla. Tosin Vastaamon asiakastietojärjestelmää on valvottu vähemmän kuin monien muiden terveysalan toimijoiden, koska se kuuluu asiakastietolain mukaan niin sanottuun B-luokkaan.

B-luokkaan kuuluvien yritysten ei ollut mahdollsita käyttää esimerkiksi sähköisiä reseptejä tai omakanta-palvelua. Vastaamon koko tietojärjestelmän oli kehittänyt itseoppinut Ville Tapio.

Vaikka en itse ole mikään koodari, niin kuulostaa vähän purkkaviritykseltä, jos itseoppinut koodari koodaa valtavan terapiatalon järjestelmän.

Tämä järjestelmä piti sisällään siis kaiken aina asiakkaiden hankinnasta lähtien aina potilastietoihin ja heidän terapiakäyntien yhteydessä tehtyihin kertomuksiin!

Vastaamon potilastietojärjestelmä murretaan

Marraskuussa 2018 Vastaamon asiakasrekisteriin tehtiin tietomurto. Hakkerointi onnistuttiin tekemään, koska Vastaamon asiakastietojärjestelmäsän suojauksessa oli vakavia puutteita, joita hyödyntämällä ulkopuoliset tahot pääsivät käsiksi Vastaamon asiakkaina olleiden ihmisten tietoihin.

Tuolloin ysisttäinen hakkeri tai hakkeriryhmä onnistui varastamaan tuhansien potilaiden potilaskertomuksia. Tämän lisäksi potilaskertomusten yhteydessä ulkopuolisten käsiin päätyi Vastaamon potilaiden nimet, osoitteet, puhelinnumerot ja henkilötunnukset.

Seuraavan vuoden alkupuolella, maaliskuussa 2019, Vastaamo oli jälleen tietomurron kohteena. Tällä kertaa ei kuitenkaan tietoja anasteta yhtä mittavissa määrin kuin ensimmäisellä kerralla. Jotain kuitenkin tuolloinkin päätyi ulkopuolisten käsiin.

ransomman astuu esiin Tor-verkon torilaudalla

Keskiviikkona 21.10.2020 neljätä aamuyöllä nimimerkki ransomman kirjoitti Tor-verkossa toimivalle suomalaiselle keskustelupalsta Torilaudelle englanniksi, kuinka heidän oli onnistunut hakkeroimaan suomalaisen psykoterapiayrityksen tietokannan.

Tässä vaiheessa puhuu siis tietomurrosta monikossa.

Viestinsä päätteeksi ransomman jättää linkin Tor-verkossa olevalle sivustolleen. Sieltä löytyy ensimmäinen setti aineistosta, ransom manin mukaan on kymmeniä tuhansia henkilötietoja potilaskertomuksineen.

Jos TOR-verkon toimintaperiaate ei ole sulle tuttu, suosittelen tsekkaamaan mun tekemän videon aiheesta. Linkki löytyy kuvauskentästä.

Ransomman kertoo tuolloin Tori-laudalla, että oli syyskuussa 2020 lähestynyt kolmea Vastaamon työntekijää vaatien 40 Bitcoinin lunnaita, jottei hän julkaise tietoja.

Tuohon aikaan 40 Bitcoinia vastasi noin 450 000 euroa.

Ransommanin mukaan Vastaamo oli kuitenkin lopettanut vastaamisen hänen lähettämiin sähköposteihin. Tämän seurauksena ransomman aikoi julkaista potilastietoja Tor-verkossa 100 päivässä niin kauan, kunnes lunnaat maksetaan.

Ransomman osallistuu aktiivisesti keskusteluun niin salatun TOR-verkon Torilaudalla kuin avoimen verkon Ylilaudallakin.

Hän kertoi, että Vastaamon tietoturvassa oli suuria puutteita ja osa tietokannoista oli suojattu käyttämällä oletusasetuksia.

En ole ihan varma, mitä näillä oletusasetuksilla tässä yhteydessä tarkoitetaan, mutta oletan niiden tarkoittavan sitä että käyttäjänimi on tyyliin Admin ja salasana 0000.

Ransomman kertoo päässeensä käsiksi Vastaamon heikosti suojattuun palvelimeen automatisoidun skriptin avulla. Jos väite on totta, tietomurto ei ole vaatinut suurta ammattitaitoa.

Keskustelijoiden reaktio Torilaudalla tietojen julkaisemisen myötä oli pääosin negatiivinen. Keskustelijat eivät kokeneet ihmisten potilastiedoilla kiristämistä kovinkaan moraalisena temppuna. Tästä mä itse olen täysin samaa mieltä!

Tosin jos on vähäänkään seurannut näitä edesmenneitä suomilautoja, niin tietää, että moraali ei siellä ole muutenkaan se korkein arvo.

Heti alusta alkaen epäiltiin, että Ransomman olisi suomalainen. Tätä perusteltiin mm. Sillä, että hänen kirjoittamansa englanti ei vaikuttanut natiivin tasoiselta.

Lisäksi merkkinä suomalaisuudesta pidettiin sitä, että Ransom man ei juutu sivuston varmennukseen, jossa käyttäjän piti erottaa suomenkieliset lauseet vironkielisistä.

Kiristä alkoi toteuttaa uhkaustaan! 23.10.2020 tapahtui kuitenkin jotain erikoista! Tuolloin ransomman latasikin Tor-verkkoon noin 10 gigatavun kokoisen tiedoston, jossa epäiltiin olleen koko vastaamon tietokonta.

Tämän arveltiin olevan vahinko, sillä tämä suuri tiedosto ehti olla ylhäällä ainoastaan joitakin tunteja Useat käyttäjät kertoivat saaneensa ladattua osia tiedostosta tai jopa koko tiedoston.

Tämä oli kohtalokas virhe, sillä nyt Ransom man päästänyt kaikkein kalleimman saaliinsa menemään.

Miksi joku haluaisi maksaa juuri hänelle lunnaita, kun tiedot voisivat löytyä jonkun muun henkilön koneelta.

Ransomman kommentoi itse suurta tiedostoa rennosti. "Whoopsie :D enjoy big tar",

Sanalla tar viitataan tiedoston pakkauksessa käytettyyn Unix-pohjaiseen apuohjelmaan. Itelle ainakin kovin tuttu!

Ransomman kiristää suoraan Vastaamon asiakkaita

24.10.2020 Ransomman vaihtaa taktiikkaa ja alkaa lähettämään kiristysviestejä suoraan Terapiakeskus vastaamon palveluita käyttäneille henkilöille.

Viesteissä todetaan, että koska Vastaamo ei ole maksanut pyydettyjä lunnaita, henkilön pitää maksaa 200 euron arvosta bitcoineja vuorokauden kuluessa tai 500 euron arvosta bitcoineja kolmen vuorokauden sisällä.

Muussa tapauksessa hänen tietonsa ja potilaskertomuksensa julkaistaan kaikkien nähtäville.

Tuon lauantai-päivän aikana vähintään 15 000 suomalaista sai edellä kuvatun kiristysviestin. Ammattilaisille tämän kaltaisten viestien lähettiminen kieli kiristäjän epätoivosta.

Alunperin lähes puolen miljoonan euron arvosta Bitcoineja on vaihtunut yritykseen kerätä hiluja suoraan uhreilta.

F-securen nykyinen tietoturva-asiantuntija Mikko Hyppönen pyysi Bitcoineja lähettäneitä ihmisiä lähettämään tiedot vastaanottajan Bitcoin-lompakoista.

Kuten mää oon jo useasti mun kanavalla todennut, Bitcoin ei todellakaan toimi kovin hyvin rikollisissa tarkoituksissa. Avointa tilikirjaa ja siinä tapahtuvia siirtoja pystyy kaikki nimittäin seuraamaan.

Lokakuun lopussa F-secure ilmoitti, että heidän laskujensa mukaan kiristäjä on saanut uhreilta muutamia tuhansia euroja. Aika kaukana siis ollaan puoleta miljoonasta, mitä hän alunperin tavoitteli.

Asiaan liittyen on muuten pakko suositella Hyppösen Internet-kirjaa. On todella mielenkiintoista settiä ainakin omasta mielestä.

Vastaamon tarina lähestyy loppuaan

Heti seuraavan viikon maanantaina 25.10 Vastaamo ilmoittaa, että toimitusjohtaja Ville Tapio Erotetaan.

Tuolloin yhtiö myös ilmoittaa että tietomurtoja on ollut kaksi ja Ville Tapio olisi ollut ainakin tietoinen näistä toisesta.

Tähän liittyy vielä sellainenkin seikka, että Vuonna 2019 sijoitusyhtiö Intera Partners oli ostanut Vastaamo-perheyrityksestä 71,25 prosentin enemmistöosuuden.

Nyt sijoitusyhtiö kuitenkin aloitti oikeustoimet yhtiötä vastaan. Intera Partnersin edustaja kertoi medialle, että yrityskauppaa ei olisi tehty, jos tietomurroista olisi tiedetty.

Helmikuussa 2021 Helsingin käräjäoikeus asetti Vastaamon konkurssiin.

Tuolloin myös Vastaamon liiketoiminnan myymisestä kuntoutus- ja terapiapalveluita myyvälle Vervelle tehdään esisopimus. Vastaamon työntekijät siirtyvät kaupassa Vervelle.

Toukokuussa 2021 Sosiaali- terveysalan lupa- ja valvontavirasto Valvira ilmoitti, että Vastaamo laiminlöi yksityisestä terveydenhuollosta annetun lain mukaisia velvollisuuksia.

Puutteita oli muun muassa toiminnan omavalvonnassa sekä potilasasiakirjamerkinnöissä.

Tietomurron uhrien kannalta juttu ei kuitenkaan vielä ollut tuolloin ohi, sillä Elokuussa 2021 useat eri mediat kertovat, että tietomurrossa saatuja vastaamon asiakkaiden tietoja ja potilaskertomuksia on vuodettu avoimen verkon puolelle.

Nämä julkaistut tiedot osoittautuvat samoiksi, kun aikaisemmin TOR-verkkoon vuodetut tiedot.

Lokakuussa 2021 Vastaamon tietomurto oli paisunut valtaviin mittasuhteisiin, sillä poliisin tiedossa oli tuolloin jo 22 000 asianomistajaa.

Läpimurto Vastaamon tietomurrossa

Keskusrikospoliisi (KRP) on tutkinut tapausta koko ajan aktiivisesti. Lokakuussa 2021 Korkein oikeus päätti, että poliisi ei voi käyttää arkaluontoisia asiakastietoja rikoksen tutkinnasta.

Tästä huolimatta poliisilla on ollut käynnissä koko ajan useita tutkintalinjoja.

Helsingin käräjäoikeus vangitsi tämän viikon torstaina (27.10) Aleksanteri Julius Kivimäki nimisen miehen todennäköisin syin epäiltynä törkeästä tietomurrosta, törkeän kiristyksen yrityksestä ja törkeästä yksityiselämää loukkaavasta tiedon levittämisestä.

Puhun tässä tekijästä nimellä sen takia, että hän on myös itse kommentoinut asiaa omalla nimellään omalla Twitter-tilillään, sekä asianajajansa kautta.

Ongelma tässä pidätyksessä on kuitenkin se, että vangitseminen tehtiin poissaolevana. Todellisuudessa KRP:llä ei siis ole vangittuna epäilemään henkilöä.

Poliisin tiedossa on, että epäilty oleskelee tällä hetkellä ulkomailla. Tästä Henkilöstä on kuitenkin annettu eurooppalainen pidätysmääräys, jonka nojalla hänet voidaan ottaa kiinni ulkomailla.

Epäillystä henkilöstä tullaan antamaan myös kansainvälisen rikospoliisijärjestö Interpolin etsintäkuulutus.

Miten hakkeri jäi kiinni?

Tähän väliin on korostettava, että Vastaamo-keississä käynnissä on vasta esitutkintavaihe. Poliisi on paljastanut vielä hyvin vähän tarkempia tietoa siitä, miten hakkerin jäljille päästiin.

Tämä ei tietysti ole estänyt sitä, että ihmiset ovat selvittäneet omatoimisesti tätä asiaa. Myös tietoturva-ammattilaiset ovat kertoneet oman näkemyksensä asiasta.

Check Pointin tietoturva-asiantuntija Jarno Ahlströmin mukaan hyökkääjät voivat jättää jälkiä, joita seuraamalla heidät saadaan kiinni.

Nämä jäljet ovat tyypillisesti erilaisia lokimerkintöjä ja tiedostoja, joita on siirretty kohdepalvelimelle.

Kuten mä kohta tuun kertomaan, niin Vastaamon tietomurtaja, Aleksanteri Kivimäellä, on aikaisempaa rikoshistoriaa kyberhyökkäyksiin liittyen.

Ahlströmin mukaan tämä on myös todennäköisesti vaikuttanut siihen, että hänet on saatu kiinni.

Lisäksi tän keissin tiimoilta netin hyvät, niin sanotut valkohattu-hakkerit, tekivät paljon yhteistyötä poliisin kanssa, jotta tekijä saataisiin kiinni!

Tämä kielii siitä, että yleisesti hakkeripiireissä ransommanin toiminta koettiin epämoraaliseksi.

Tietysti myös se tosiseikka, että tapaus on ollut todella julkinen ja koskettanut valtavaa määrää ihmisiä, on lisännyt painetta tekijän kiinnisaamiseksi.

Jos Aleksanteri Kivimäki lopulta todetaan syylliseksi Vastaamon tietomurtoon, niin jonkun virheen hän on joka tapauksessa tehnyt! Jäänkin innolla odottamaan lisätietoja tästä aiheesta!

Epäillyllä pitkä historia kyber-rikollisuuden parissa

Todennäköisin syin epäiltynä oleva Kivimäki ei ole ensimmäistä kertaa tietomurtojen parissa. Vuonna 2015 hänet tuomittiin Espoon käräjäoikeudessa jättimäisestä tietoverkkorikosvyyhdistä.

Nämä rikokset olivat tapahtuneet vuosina 2012-2013, jolloin Kivimäki oli ollut vasta 15 ikävuoden tietämillä. Tuomio oli tuolloin kahden vuoden ehdollinen vankeus.

Kivimäki on tullut tutuksi poikkeuksellisen kyvykkäänä nuorena hakkerina. Hänen on kerrottu kiusanneen Yhdysvaltain ilmavoimia, American Airlinesia ja aiheuttaneen jättimäisiä poliisioperaatioita Yhdysvalloissa eri osavaltioissa

Suurta huomiota kansainvälisesti herätti tapaus, jossa Kivimäki tilasi toisen hakkerin perheen kodin ovelle pizzaa ja valtaisan sorakuorman. Samalla hän aiheutti myös pommiuhan ja mittavan poliisioperaation.

Kivimäki on myös tuttu nimi hakkeripiireissä, joka tunnetaan mm zeekill -nimellä. Hän on ollut mukana Anonymous-hakkeriliikkeen toiminnassa. Lisäksi hän on ollut osa Lizard Squad rikollisporukaa!

Kivimäki on kunnostautunut esimerkiksi XBoxiin ja Playstationiin kohdistetuissa palvelunestohyökkäyksissä.

Kivimäki on tullut tunnetuksi hakkeripiireissä häikäilemättömänä ja huomionhakuisena henkilönä. Tämä vastaa hyvin sitä toimintaa, mitä Ransom man harrasti Vastaamon tietomurron yhteydessä.

Hän jutteli tuolloin aktiivisesti muiden lautalaisten kanssa ja viihtyi valokeilassa. Tyypillisesti tämän kaltaisen rikoksen tekijä välttelisi julkisuutta.

Tosin eikös sitä myös sanota niin, että murhaaja palaa aina rikospaikalle.

Kivimäki kiistää syyllisyytensä

Kun KRP ilmoitti vangitsemispäätöksestä, Kivimäki otti yhteyttä asianajajaansa Peter Jaarliin, joka on avustanut häntä aiemmisakin oikeusjutuissa.

Kivimäki kommentoi asianajajansa välityksellä Ilta-Sanomille ,että hän kiistää syyllistyneensä rikoksiin. Hän myös kertoo, että on ollut itse aktiivisesti yhteydessä poliisiin Vastaamon tietomurron tiimoilta.

Kivimäki on ottanut myös aktiivisesti kantaa vangitsemiseensa Twitterissä. Itse rupesin heti epäilemään, mahtaako kyseessä olla aito tili, mutta Käsittääkseni hänen asianajajansa on vahvistanut Twitter-tilin aitouden.

Kivimäki korostaa Twiiteissään, että hän hänelle ei ole annettu mahdollisuutta puolustautua asiassa, vaan oikeudenkäynti on suoritettu häneltä salaa.

Hän myös ilmoitti, että on valmis tulemaan Suomeen vastaamaan syytöksiin, jos hän saa tehdä sen vapaalla jalalla.

Tuomioita ei Vastaamoon tietomurtoon liittyen ole siis annettu mistään rikoksista. Siksi jokaisen kannattaakin välttää heittäytymistä tuomarin rooliin.

Tämä seikka tuntuu monelta isoltakin mediatalolta unohtuneen!

Se miten, asia tästä eteneee ei ole vielä tiedossa. Joka tapauksessa jossain vaiheessa Esitutkinnan valmistuttua on syyttäjän tehtävä päätös syyttämisestä tai syyttämättä jättämisestä.

Poliisin arvion mukaan noin 10 000 Vastaamon tietomurron uhria ei ole vielä tänäkään päivänä tehnyt rikosilmoitusta.

Poliisi kehottaakin tekemään rikosilmoituksen, jos henkilökohtaisia tietoja on vuotanut nettiin tai on saanut kiristysviestin Vastaamon tietomurtoon liittyen.

TIetoturva on asia, joka edelleen monella unohtuu. Tämä koskee niin yrityksiä kuin yksittäisiäkin henkilöitä!

Valitettavasti tietoturvan merkitykseen havahtuu yleensä vasta siinä vaiheessa kun hommat ovat jo menneet pieleen.