Vastaamon ensimmäisessä kiristysyrityksessä on saattanut olla kyse ”roiskaisusta”, jossa tietomurtaja ei tiennyt, mitä hänellä oli käsissään.

Vastaamon asiakastietokannan varastaminen johtui palvelimelle auki jätetystä tietoliikenneportista, joka oli auki 1,5 vuoden ajan.

Tiedot perustuvat Vastaamon ex-toimitusjohtaja Ville Tapion Helsingin käräjäoikeudelle jättämään lausuntoon liittyen turvaamistoimihakemukseen, jossa Tapion omaisuutta on takavarikoitu Vastaamon kauppahinnan verran eli 9 667 000 euroa. Vastapuolena on Vastaamon omistava Intera Partnersin holding-yhtiö PTK Midco.

Muilta osin tiedot perustuvat IS:n omaan tiedonhankintaan.

IS on kirjoittanut asiasta aikaisemmin tammikuun loppupuolella. Nyt avaamme kuitenkin murtoon liittyneitä teknisiä yksityiskohtia ja sitä seuranneita tapahtumia, jotka ovat jääneet suurilta osin julkisuudelta piiloon.

Vastaamon potilastietokanta rakennettiin Linux/MySQL-pohjalle, ja sen toteuttivat yrityksen palveluksessa olleet it-työntekijät NN ja MM vuonna 2015. Heidät siirrettiin tehtävistään syrjään tutkinnan alettua.

Tietokannan internetiin näkyväksi tekevä MySQL-tietokannan käyttämä tietoliikenneportti 3306 jäi avoimeksi marraskuussa 2017 palvelimelle tehtyjen muutostöiden jälkeen. Syynä uskotaan olleen it-työntekijä NN:n tekemät muutokset, joissa palvelimen palomuurin määrittelyjä muutettiin etäkäyttöyhteyden ylläpitoa tai kehitystoimia varten.

Tietoliikenneportti viittaa tietoliikenteessä käytettyyn ”ohjelmalliseen väylään”, ei varsinaiseen fyysiseen porttiin.

Asiakasrekisterin tietoja ei ollut salakirjoitettu, ja lisäksi niiden salasanasuojaus oli ilmeisen heikko. Vastaamoa kiristänyt rikollinen väitti lokakuisissa julkisissa kirjoituksissaan internet- ja darknet-foorumeille sekä käyttäjätunnuksen että salasanan olleen root, eli oletussalasana. Ville Tapio on kiistänyt tiedon. Ilmeistä on, että suojaus on kuitenkin ollut riittämätön.

Näin Vastaamon tapaus on edennyt:

Nykytiedon mukaan Vastaamoon kohdistui kaksi tietomurtoa. Ensimmäinen tapahtui marras–joulukuussa 2018 ja toinen perjantaina 15.3.2019.

Ensimmäisen tietomurron ajankohta on tietoturvayhtiö Nixun teknisen tutkinnan mukaan 20.12.2018, mistä kielisi puutteellinen lokimerkintä.

Ilta-Sanomat Digitoday kävi kiristyksen alkupäivinä kiristäjän kanssa sähköpostikirjeenvaihtoa, jossa kiristäjä väitti varastaneensa tietokannan automatisoidusti aikaisemmin, marraskuussa 2018. IS ei julkistanut kiristäjän väitteitä sellaisinaan.

Toinen, 15.3.2019 tapahtunut murto huomattiin nopeasti, sillä sen yhteydessä Vastaamon koko palvelu kaatui. Samalla myös koko tietokanta deletoitiin, ja palvelimelle jätettiin kiristysviesti.

Ville Tapion oikeudelle jättämä lausunto Nixun tutkinnasta sanoo seuraavaa: Nixun teknisessä tutkinnassa on tullut ilmi, että MM:n ja NN:n yhteisellä pääkäyttäjätason tunnuksella on tehty toimia 15.3.2019, joista on pääteltävissä, että tällä pääkäyttäjätunnuksella on käsitelty sellaista hakemistoa, johon edellä mainittu kiristysviesti sisältyi. Suoritettujen komentojen perusteella aktiivinen MySQL-kanta (sisältäen kiristysviestin) on pakattu mysl.zip-tiedostoon pääkäyttäjätunnuksen kotihakemistoon. Tutkintahetkellä tiedostoa ei sieltä kuitenkaan enää löytynyt. Nixun raportin perusteella vaikuttaa siten todennäköiseltä, että MM ja/tai NN on huomannut kiristysviestin 15.3.2019.

Vastaamon it-työntekijät NN ja MM väittävät kertoneensa murrosta tuoreeltaan Ville Tapiolle, joka käski näiden vaieta. Ville Tapio itse sanoo, että tieto pimitettiin häneltä.

Ville Tapio sanoo lausunnossaan oikeudelle, että hänen oli vaikea saada ongelman tilannekuvaa NN:ltä ja MM:ltä. 15.3. oli määrä olla maksupäivä Vastaamon palkoille ja laskuille. Maksuja päädyttiin siirtämään.

Tuhoutunut tietokanta palautettiin varmuuskopioista ja järjestelmä palautettiin toimintaan maanantaina 18.3., mutta 5.3.–14.3.2019 kirjatut merkinnät jäivät puuttumaan.

15.3. kello 11.18 henkilöstölle lähettämässään sähköpostiviestissä Tapio kertoo palvelimen kaatuneen. Kello 15.36 lähettämässään viestissä Tapio sanoo laskutuksen siirtyvän maanantaille. It-työntekijät työskentelivät ilmeisen ahkerasti viikonlopun tietoja palauttaessaan.

20.3. henkilöstölle lähettämässään sähköpostiviestissä Tapio sanoo, että virhetilanne ei johtanut tietojen vuotamiseen ulkopuolelle. Näin on kirjattu myös Valviralle huhtikuussa lähetettyyn poikkeamailmoitukseen tapahtumasta.

Avoin tietoliikenneportti suljettiin 15.3. tapahtumien jälkeen. Nixu selvitti asian käyttämällä internetiin päin avoimia järjestelmiä kartoittavan Shodan-hakukoneen hakuhistoriaa.

Auki on yksi suuri kysymys. Miksi kiristys tuli julki vasta lokakuussa 2020, jos se alkoi jo keväällä 2019?

Yksi mahdollisuus on, että kyseessä oli ”ensimmäisen sukupolven” kiristys, jossa tiedot salakirjoitetaan ja niistä vaaditaan lunnaita, mutta tietoja ei varsinaisesti varasteta. Kukaan ulkopuolinen ei olisi välttämättä katsonut tietoja.

– Huonosti suojattuun tietokantaan tullaan sisään [automatisoidusti] skriptillä, imuroidaan kannat skriptillä ja jätetään tietokannan tilalle kiristysviesti skriptillä. Sitten sama toistuu johonkin toiseen haavoittuvaan palvelimeen. Uhreja tulee tuhansia, niistä jotkut maksavat jotkut eivät, F-Securen tutkimusjohtaja Mikko Hyppönen kuvailee hyökkäystapaa.

– Jos näin oli, Vastaamon it-miesten toive siitä, että 15.3.2019 murrosta selvittäisiin säikähdyksellä, olisi hyvin voinut toteutua, Hyppönen spekuloi painottaen sitä, ettei tunne itse päivän tapahtumia.

Kiristäjän omien väitteiden mukaan varastettu Vastaamon tietokanta on peräisin loppuvuodelta 2018. Tämä on mahdollista siksi, että se ei sisältänyt terapiakirjauksia vuoden 2019 puolelta.

Seuraavan kerran tapahtumat etenivät vasta puolitoista vuotta myöhemmin, syyskuussa 2020. Kiristäjä otti anonyymistä sähköpostiosoitteesta 28.9.2020 yhteyttä Ville Tapioon vaatien 40 bitcoinin lunnaita. Summa vastaa senhetkisellä kurssilla noin 450 000 euroa.

Tiettävästi Tapio oli tämän jälkeen yhteydessä poliisiin, kyberturvallisuuskeskukseen, Valviraan sekä tietosuojavaltuutettuun. Hän on myös käynyt omistajataho Intera Partnersin hallituksen kanssa kirjeenvaihtoa, josta IS on nähnyt otteita.

IS:n ja kiristäjän käymässä viestinvaihdossa kiristäjä myönsi, etteivät hänen tekonsa ole moraalisesti perusteltavissa. Hän ei kuitenkaan ottanut vastuuta toiminnastaan, vaan syytti tietoturvansa heikosti hoitanutta Vastaamoa.

Kiristäjä julkaisi ensimmäiset potilastiedot varhain aamulla 21.10. osittain Ylilauta-foorumilla julkisuutta saadakseen. Kaikki ensimmäisen päivän 100 nimeä hän julkaisi omalla darknet-sivullaan pimeässä verkossa.

Vastaamo oli valmistautunut heikosti kiristyksen paljastumiseen. Vastaamon sisäisestä kirjeenvaihdosta käy ilmi, että Vastaamon kriisiviestintää hoitanut viestintätoimisto Tekir oli mukana keskusteluissa jo syyskuun lopussa. Tästä huolimatta asian paljastumista seurasi ennennäkemätön julkisuuskatastrofi.

Vastaamo ei varhain aamulla 20.10. vastannut yhteydenottoihin. IS:n tavoitettua Intera Partnersin, Vastaamo julkaisi puhelinsoiton laukaisemana valmiiksi kirjoitetun tiedotteen.

Vastaamon kriisiviestintä osoittautui täysin riittämättömäksi, vaikka sen suunnitteluun oli ollut aikaa kolme viikkoa. Vastaamo viesti etupäässä sähköpostitse, ja entinen toimitusjohtaja Ville Tapio pysytteli poissa julkisuudesta ja sai tappouhkauksia. Hän on myöhemmin vedonnut vaitiolopakkoon.

Riittämättömiä ja myöhässä olivat myös Vastaamon tukitoimet. Viisi päivää murron jälkeen Vastaamo julkisti tarjoavansa kriisiapukeskustelua terapeutin kanssa. Pian tämän jälkeen Vastaamo kertoi hyvittävänsä vuoden verran Asiakastiedon OmaLuottokielto- ja tietojen väärinkäyttöä seuraavaa Tietovahti-palveluita. Näiden minimitilausaika on kuitenkin kaksi vuotta.

Kiristäjä julkaisi darknet-sivullaan kolmen päivän ajan 100 asiakastapausta päivässä. Kolmantena päivänä hän julkaisi myös mitä ilmeisimmin vahingossa hetkeksi aikaa koko tietokannan, mutta paketissa oli myös muita tietoja hänen tietokoneeltaan. Vieläkään ei ole tiedossa, moniko ehti ladata tiedoston kokonaisuudessaan. Pari päivää tämän jälkeen Vastaamon asiakkaat saivat henkilökohtaista kiristyssähköpostia. Kaksi päivää tämän jälkeen Ville Tapio irtisanottiin.

Seuraavan kerran Vastaamon tietokannasta kuului, kun se julkaistiin avoimen internetin puolella olevilla tiedostonjakopalvelimilla 27.1.2021. Linkki tiedostoihin julkaistiin kahdella suomalaisella darknet-foorumilla, minkä jälkeen tiedostot lähtivät leviämään nopeasti ympäriinsä.

Kyse ei ole samasta 10 gigatavun paketista, jonka kiristäjä julkaisi darknet-sivullaan. Nyt kiertävästä paketista on siivottu kaikki muu paitsi EtunimiSukunimi.txt-muotoiset tekstitiedostot, joita on paketissa 31 980 kappaletta.

Oikeudessa käsitellään parhaillaan yhtä Vastaamoa koskevaa asiaa, Ville Tapion omaisuutta koskevaa turvaamistoimihakemusta.

Myöhemmin välimiesoikeus käsittelee PTK Midcon / Intera Partnersin vaatimusta Vastaamo-yrityskaupan purkamisesta. Hakemuksen perusteena on väite, että Ville Tapio olisi ollut tietoinen murrosta myydessään Vastaamon kesällä 2019. Koska käsittely tapahtuu välimiesoikeudessa, prosessi ei ole julkinen.

Poliisilla on lisäksi esitutkinnassa tietosuojarikos, jossa epäillään ”alle kymmentä” Vastaamon työntekijää asiakasrekisterin vaarantamisesta. Tämän lisäksi poliisi tutkii törkeää tietomurtoa ja törkeää kiristystä, jossa ei ole tiettävästi nimettyjä epäiltyjä.