Psykoterapiakeskus Vastaamoon kohdistuneen tietomurron yksityiskohdat alkavat selvitä. Alkuperäinen murto tapahtui marraskuussa 2018 todennäköisesti ulkoa käsin tehtynä.
Lisäksi Vastaamoon kohdistui toinenkin tietomurto. Tämä tapahtui maaliskuussa 2019.
– Joskus ennen marraskuuta 2018 on tehty Vastaamon servereillä muutoksia, jotka ovat johtaneet siihen, että sivulle on jäänyt puute, jota kautta tietokantaa on saatu hyödynnettyä, kommentoi Vastaamon hallituksen puheenjohtaja Tuomas Kahri ensimmäistä murtoa.
Kahri edustaa Vastaamon uutta omistajaa, Intera Partnersia, joka osti Vastaamon kesällä 2019. Kahrin sanojen mukaan kaupan toteutuessa uutta omistajaa ei informoitu tietoturvapuutteista eikä -loukkauksista.
Juttu jatkuu kuvan jälkeen.
Kiristäjä oli yhteydessä Ilta-Sanomiin viime viikolla tarkoituksenaan saada julkisuutta teoilleen. IS ei antanut verkkorikolliselle ääntä. Yksi hänen väitteistään kuitenkin oli, että murto tapahtui automatisoidusti ohjelmistorobotilla, joka kokeili verkkoon kytkettyihin järjestelmiin tunkeutumista oletussalasanoin.
Ilta-Sanomien tietojen mukaan ensimmäisen murron tapahtuessa Vastaamon palvelin oli MySQL-palvelin, josta oli sallittu etäyhteydet. Tämän lisäksi sen tietokanta on ollut salaamaton.
Normaalisti MySQL-palvelimet eivät salli etäyhteyksiä. Asetukset oli kuitenkin säädetty etäyhteydet mahdollistaviksi. Syytä tähän ei tiedetä, mutta mahdollisesti terapeuttien tietokantaan pääsemisen helpottamiseksi.
Vahvistamattomien tietojen mukaan kyseessä olivat 40 000 potilaan tiedot. Kahri sanoo, ettei voi tutkinnallisista syistä ottaa kantaa tietoturva-asioihin, mutta hänen mukaansa kyseessä oli Vastaamon koko senhetkinen asiakastietokanta. Myöskään poliisi ei ole kommentoinut vuotaneiden tietojen tarkkaa määrää.
Maaliskuussa Vastaamon palvelimille kohdistui toinen tietomurto. Tämän murron seurauksena huomattiin alkuperäiset tietoturvapuutteet. Vaikuttaa ilmeiseltä, että tällöin yhtiön toimitusjohtaja tuli tietoiseksi tietomurrosta ja sai tietoonsa Vastaamon järjestelmissä olevat haavoittuvuudet.
Vastaamon Tietoturvan tasoa parannettiin maaliskuussa 2019 ja puutteet korjattiin. Tämän jälkeen uusia murtoja ei tiedetä tapahtuneen.
Ilta-Sanomat ei ole tavoittanut Vastaamon maanantaina irtosanomaa toimitusjohtaja Ville Tapiota kommentoimaan asiaa.
Tapio kommentoi asiaa maanantai-iltana julkaisemassaan julkisessa Facebook-päivityksessä. Hän kiistää tietäneensä aiemmin Vastaamon ensimmäisestä tietomurrosta. Tapion mukaan tietomurto, jonka ajankohdaksi epäillään marraskuuta 2018, paljastui hänelle vasta Nixun tutkimuksen pohjalta lokakuussa 2020.
Tapio ei ottanut maanantaisessa Facebook-postauksessaan kantaa maaliskuun 2019 tietomurtoon tai siihen, onko hän ollut jälkimmäisestä murrosta aiemmin tietoinen.
Psykoterapiakeskuksen palkkaaman tietoturvayhtiö Nixun selvityksen mukaan toisen murron takana on todennäköisesti eri taho kuin ensimmäisen, Kahri kertoo.
Siitä ei ole vahvistusta, varastettiinko toisessa murrossa tietoja. Tiettävästi sellaiset ihmiset, joiden asiakkuus on alkanut joulukuun 2018 ja maaliskuun 2019 välillä, eivät ole saaneet henkilökohtaisia kiristysviestejä. Tämä ei ole kuitenkaan tae siitä, etteivätkö tiedot voisi olla väärissä käsissä.
Kiristäjä otti yhteyttä Vastaamoon ensimmäisen kerran 28.9. ja ilmoitti pitävänsä hallussaan yrityksen potilastietokantaa ja alkoi kiristää rahaa.
Vastaamo ei maksanut lunnaita, joten kiristäjä alkoi julkaista potilastietoja 21.10. ja julkaisi niitä noin 100 päivässä kolmen päivän ajan. Perjantaina 23.10. hän latasi mahdollisesti vahingossa koko potilastietokannan Tor-sivuilleen darknetiin, ja osa verkon käyttäjistä saattoi ehtiä kopioida sen kokonaan tai osittain.
Lauantaina yksittäiset Vastaamon asiakkaat saivat kiristysviestejä, joiden takana oli mahdollisesti alkuperäinen kiristäjä.
Maanantaina Vastaamo kertoi Ilta-Sanomille irtisanoneensa entisen toimitusjohtajansa ja aloittavansa tätä kohtaan siviilioikeudelliset toimenpiteet.
