Teemu teki suomalaisille Facebook-vuodon uhreille sivuston, jota viranomaiset eivät suosittele käytettävän – kymmeniä tuhansia kävijöitä - Tietoturva - Ilta-Sanomat

Teemu teki suomalaisille Facebook-vuodon uhreille sivuston, jota viranomaiset eivät suosittele käytettävän – kymmeniä tuhansia kävijöitä

Vuoto.fin takana oleva Teemu kertoo löytäneensä oman puhelinnumeronsa vuotaneista tiedoista. Hän halusi mahdollistaa saman muillekin.

Vuoto.fi on suomalaisen Teemun koodaama sivusto, jolla voidaan tarkistaa oliko oma puhelinnemero osa Facebookin isoa tietovuotoa.­

6.4. 14:52

Pääsiäisenä julki tulleen suuren Facebook-vuodon osallisille on pystytetty anonyymi verkkopalvelu, jossa voi tarkistaa, onko oma puhelinnumero ja mahdollisesti muitakin Facebook-tietoja päätynyt verkkoon.

Kyseessä on jo alun perin vuonna 2019 Facebookista kerätty tietokanta, joka on aiemmin ollut pimeän verkon kauppatavaraa. Nyt tietokanta on kenen tahansa asiaa osaavan kopioitavissa talteen verkosta.

Nettiosoitteeseen vuoto.fi on perustettu verkkosivu, joka antaa mahdollisuuden syöttää sivulle oma puhelinnumero ja tarkistaa, onko se ollut osa vuotoa.

Ilta-Sanomat Digitoday tavoitti sivun ylläpitävän tietojenkäsittelytiedettä opiskelleen ohjelmoija Teemun. Hän kertoo ensimmäisen sivulla vierailleen jo yli 80 000 eri kävijää.

Sivustolla olevan laskurin mukaan noin kolmasosa hauista (31,91 %) on ollut artikkelin kirjoitushetkeen mennessä osumia, eli puhelinnumero on ollut osa tietovuotoa.

Teemu kertoo sähköpostitse sivun luomisen motivaation tulleen siitä, että yksityisen kansalaisen ei ollut vuodon paljastuttua mahdollista tarkistaa, ovatko omat tiedot mukana vuodossa. Hän löysi Facebook-vuodon suomalaiset Finland.txt-nimisestä tekstitiedostosta salatun Telegram-pikaviestimen kanavalta.

– Ensimmäiseksi tietenkin tarkistin, olinko itse mukana vuodossa, ja harmikseni tämä osoittautui todeksi.

Teemu ”hashasi” vuodon suomalaiset puhelinnumerot, eli muunsi ne sha-1-salausalgortmilla tiivistettyyn muotoon. Kun verkkosivulle syöttää oman puhelinnumeronsa, sille tehdään lennossa sama salakirjoitus ja verrataan, löytyykö lopputulos Teemun listalta.

Teemun mukaan verkkosivu ei lähetä puhelinnumeroita eteenpäin, minkä voi tarkistaa itse avaamalla selaimessa web-kehittäjän näkymän. Näkymä kertoo, että vain tiivistetyn eli salakirjoitetun puhelinnumeron kolme ensimmäistä merkkiä lähtee eteenpäin. Tämä ylittää kuitenkin tavallisen käyttäjän osaamistason.

Teemu sanoo säilyttävänsä puhelinnumerolistaa Vercel-nimisessä palvelussa, joka tallentaa tietoja Amazonin ja Googlen pilviin.

– Minulle oli alusta asti tärkeää, jos päättäisin sivuston missään muodossa julkaista, että käyttäjän puhelinnumeroa ei lähetetä selkokielisenä missään tilanteessa mihinkään. Mielestäni se vasta herättäisikin kaikenmaailman epäilyjä, ja se kulkisi mm. näiden em. palveluntarjoajien verkkoon (tai sitten olisi täytynyt vaihtaa palveluja) sekä mahdollistaisi sen tallentamisen ja jäämisen mahdollisesti lokeihin yms yms.

Henkilötietorekisterien ylläpitämistä säännellään lailla. Teemu sanoo, ettei ole juuri miettinyt lakiteknistä näkökulmaa.

– Olen ohjelmoija, en lakimies. En osaa sanoa, enkä kyllä valitettavasti sen kummemmin lainsäädännöllistä aspektia miettinyt edes.

– Puhelinnumerot ovat hashattuna, en ole varma miten niitä kohdellaan lakien mukaan. Tietty väsytyshyökkäys [raakaan laskentatehoon perustuva toistuva yrittäminen] on mahdollista, en usko että siihen kukaan ryhtyisi, kun ei tuo vuodettu lista nyt niin vaikeasti saatavissa ole.

Teemu harkitsee sivun palauttamista aiempaan muotoonsa kävijäpiikin jälkeen. Silloin sivustolla viitattiin tietoturvatutkija Troy Huntin perustamaan Haveibeenpwned-palveluun, F-Securen Identity Theft Checkeriin sekä Ylen artikkeliin, jossa suositellaan salasananhallintaohjelman käyttöä.

Puhelinnumerolla hakeminen tuoreista Facebook-vuototiedoista on nyt lisätty myös Haveibeenpwnediin, eli omien tietojen tarkistaminen onnistuu nyt myös sieltä.

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksen tietoturva-asiantuntija Juho Jauhiainen sanoo, että viranomainen ei suosittele vuoto.fi-sivuston käyttöä.

– Emme voi suositella sitä käytettävän, koska emme tunne sivuston tekijää ja tiedä, onko sillä muuta tarkoitusperää. Sivustolla on puhelinnumerot, vaikkakin tiivistetyssä (salakirjoitetussa) muodossa, mutta ne saa halutessaan auki, Jauhiainen sanoo.

– Sen käyttö ei ole Kyberturvallisuuskeskuksen mielestä järkevää.

Jauhiainen ei ota kantaa Vuoto.fi-sivuston lainmukaisuuteen.

Kyberturvallisuuskeskus ei ole tavoitellut sivuston ylläpitäjää tai selvitellyt hänen henkilöllisyyttään Traficomin tiedoista.

– Meillä ei ole syytä tässä vaiheessa epäillä tietoturvaloukkausta sivun osalta.

Jauhiainen sanoo vuototarkistussivujen olevan hankala tapaus, eikä hän kannusta ihmisiä sellaista perustamaan. Sen sijaan hän neuvoo käyttämään tunnettuja Haveibeenpwnedia tai F-Securen Identity Theft Checkeriä.

– Kun tällaista sivustoa lähtee tekemään, pitäisi selvittää onko palvelu lakiteknisesti mahdollinen. Hyvä pohjatyö olisi tehtävä. Hetken mielijohteesta en suosittele lataamaan tietovuodossa vuodettuja tietoja ja laittamaan niitä internetiin saataville.

Osion tuoreimmat

Luitko jo nämä?