Vastaamon potilastietoihin kohdistunut tietomurto

[Emo]

Joo, ei ongelma ole digitaalisuudessa vaan aivan muualla.

Jos tuo root:root pitää paikkaansa, niin paperimaailman analogiana tuo vastaa suurinpiirtein sitä että potilasarkiston ovet olisivat olleet sepposen selällään ja asiaa olisi mainostettu globaalisti.

Näin ei kuitenkaan koskaan tapahtunut, sairauskertomusarkiston ovet eivät olleet auki kenen tahansa mennä ja tulla.
Missä edes olisit  globaalisti mainostanut, kun kulttuurimarxilaista globaalia  internetiä ei ollut.
Ei silloinkaan papereita tilailtu huvikseen luettaviksi ja etenkään niitä ei jaettu Tor-verkossa.

Tietoyhteiskunta on ideologista sontaa siinä kuin intersektionaalinen feminismi ja maahanmuuttobisneskin, tarkoitus on rahastaa, kontrolloida, mädättää ja kytätä.
Pitää ihmisiä pienessä pelossa koko ajan, välittää ihmiselle maailmasta vaikutelma että sinä et voi kontrolloida elämääsi, mikään ei ole omissa käsissäsi etkä etenkään äänestämällä voi vaikuttaa, mutta et muutenkaan.

Vetelin Tunkkarin TK:lla arkiston ovet olivat hyvin usein auki 1980- ja 1990-luvulla (tällä vuosituhannella en ole sielä sitten asioinutkaan, ja toivottavasti koskaan enää en asioi). Ei ne tosin sitä mainostaneet missään, mutta sen näkemiseksi riitti vain aulasta vastaanottohuonetta kohtu kävely.

Kun puhutaan potilasarkistosta, niin parein ongelmana on lähinnä sen heikko indeksoitavuus. Itsellä sattuu olemaan omia epikriisejä yms lääketieteellistä jargonia paksun mapin verran paperisena. Jos mää nyt sattumalta haluaisin tietää vaikka sen, että mitä mun hemoglobiinitaso on ollut vuonna tammikuussa 1998, niin joutuisin penkomaan muuten melko pitkään että löytäisin sen.  Mutta toisaalta, jos esimerkiksi lomareissun ajaksi palkattu lapsenvahti haluaa tietää sen, niin se voi ottaa saman mapin hyllystä ja penkoa sen (ja lukea siinä sivussa kaikki anamneesit, epikriisit, diagnoosit ja statukset). Mä en voi paperiarkistoon soveltaa mitään kryptoa, en salasanoja en mitään. Se että joku on käsitellyt papereita, näkyisi vasta sormenjäljistä (jos siis tällä alueella paranoidiksi ryhtisin).

Ei se noin vaikeaa ollut, hemoglobiiniarvon löytäminen.
Tuli joku kerta etsittyä, tuskin sun hemoglobiinia kuitenkaan kun en Vetelissä ole koskaan mitään haeskellut.
Aika näköjään ruostuttaa muistot, eikä tämän nykysysteemin  eduksi muuta voi sanoakaan, kuin muistella miten Vetelissä  kaikki (vissiin ehkä) retkotti lintujen paskoa ja rottien jyrsiä.

[ikuturso]

Murha.infon puolella mielenkiintoinen havainto. Kun kupru tuli ilmi, tietosuojavastaava oli nimetty nettisivuilla. Seuraavana päivänä ei kuulemma enää ollut. Yksi titteli muutettu kuvassa...

Toki voi olla, että tietosuojavastuu on järjestelmäasiarkkitehti xy:ltä otettu jo aiemmin pois ja nyt vasta kiirusti nettisivut päivitetty, jotta ei puhelin pala käteen tai teestä löydy novichokia.

-i-

[Vörå]

Mitäs mieltä perssuomalaisset muuten olivatkaan hetu-uudistuksesta? Taisi olla joku maailmanloppu, jos tuo naurettavan helposti selville saatavissa oleva tunnus modernisoitaisiin edes vähän tietoturvallisemmaksi.

[Lalli IsoTalo]

Tietoyhteiskunta ... Pitää ihmisiä pienessä pelossa koko ajan, välittää ihmiselle maailmasta vaikutelma että sinä et voi kontrolloida elämääsi, mikään ei ole omissa käsissäsi etkä etenkään äänestämällä voi vaikuttaa, mutta et muutenkaan.

Kuten olemme havainneet, hyvienkin - tai ainakin ei-pahojen - ihmisten kannattaa pitää suu supussa, ja henkilökohtaiset asiat piilossa, koska ne kyttääjät ovat niitä pahoja ihmisiä. Siitä taas sitten seuraakin halvin kansalaisten kontrollin muoto, itsesensuuri.

"Jos et ole paha kaveri, sinulla ei pitäisi olla mitään piilotettavaa" on täysin järjetön kommentti, etenkin tietoyhteiskunnassa. Jos jostain tärkeistä asioista haluaa keskustella, niin se kannattaa tehdä kahdenkeskisellä kävelyreissulla, ja jättää kaikki elektroniikka kotiin.

Mutta tämähän liukuu taas ohi ketjun otsikosta ...

[Paawo]

Mitäs mieltä perssuomalaisset muuten olivatkaan hetu-uudistuksesta? Taisi olla joku maailmanloppu, jos tuo naurettavan helposti selville saatavissa oleva tunnus modernisoitaisiin edes vähän tietoturvallisemmaksi.

Millähän muumin aasinsillalla intersektionaalisen hetu-hörhöilyn vastustus nyt saatiin tähän liitettyä? 

[Lalli IsoTalo]

Lievästi asian vierestä: @kgb tai joku muu mode, kun Homman yksityisviestit tuhoaa sekä kansioista lähetetyt että vastaanotetut, niin poistuvatko lopullisesti, vai menevätkö ne roskikseen, josta ne voi myöhemmin kaivaa esiin, esimerkiksi tuomioistuimen päätöksellä? Entä voiko niitä kaivaa esiin serverin varmuuskopioista, ja jos voi, kuinka pitkän aikaa se on mahdollista?

Ja vielä: vaikka itse tuhoaisit viestisi, ne ovat edelleen siellä kaverin postilaatikossa. Ne ovat myös (Homman ulkopuolisessa) sähköpostissasi, jos olet sellaisen määritellyt kohdassa Profiili - Tunnuksen asetukset - Sähköposti. (Ja sieltä sähköpostista poistetut viestit pitää tietenkin vielä poistaa lopullisesti roskiksesta, ja senkin jälkeen, riippuen siitä mihin viestit tallennetaan, tiedot voi ehkä kaivaa esiin kovalevyltä.)

Tieto elää monessa paikassa samanaikaisesti, ja jossain ehkä ikuisesti. Netti ei unohda.

[Vörå]

Mitäs mieltä perssuomalaisset muuten olivatkaan hetu-uudistuksesta? Taisi olla joku maailmanloppu, jos tuo naurettavan helposti selville saatavissa oleva tunnus modernisoitaisiin edes vähän tietoturvallisemmaksi.

Millähän muumin aasinsillalla intersektionaalisen hetu-hörhöilyn vastustus nyt saatiin tähän liitettyä? 

Pääasia siinä ihan oikeasti oli tietoturva - ja irrottaminen sukupuolesta myöskin hyvä asia sen tietoturvan kannalta. Mutta sitten sontalehdet vähän revittelivät otsikkoja ja taantumuspuolueen syvät rivit tietysti innostuivat öyhöttämään. Suorastaan pavlovilainen ilmiö tämä.

[ämpee]

En ole oikein ymmärtänyt tätä viimeaikaista "mutta kaikkihan käy terapiassa" -liikettä.

Hyvinvointiyhteiskunnan jäsenilleen tarjoamat oikeudet pahoinvointiin ovat nykyään laajat ja monipuoliset.
Tarjonnan vähentämisellä saavutettaisiin tuloksia paremmin kuin millään muulla kuviteltavissa olevalla menetelmällä.

[Skeptikko]

Mitäs mieltä perssuomalaisset muuten olivatkaan hetu-uudistuksesta? Taisi olla joku maailmanloppu, jos tuo naurettavan helposti selville saatavissa oleva tunnus modernisoitaisiin edes vähän tietoturvallisemmaksi.

On vähän kyseenalaista, että mikä tietoturvallisuushyöty siitä tulisi. Joissain tilanteissa siitä, ettei syntymäaika ilemene, voi olla hyötyä - ja toisisssa taas haittaa. Esimerkiksi väärän hetun käyttämisen havaitsee nykyjärjestelmässä monissa tapauksissa siitä, että sukupuoli tai ikä ei selvästkään täsmää henkilön kanssa, joka väittää sitä omakseen, mikä karsii pois paljon potentiaalisia huijausyrittäjiä. Joku 20-vuotias Rainer ei pysty esiintymään 90-vuotiaan Railin hetulla reaalimaailmassa kovin hyvin. Esimerkiksi tässä tietovuodossa se ei olisi auttanut mitenkään paitsi korkeintaan siten, että voi olla hieman helpompaa antaa uusi hetu vanhan tilalle jatkossa uusissa yhteyksissä käytettäväksi. Periaatteessahan se onnistuisi varmaan nytkin, mutta eri asia on, että halutaanko niin kovin mielellään tehdä.

[ismolento]

@foobar taisi sanoa jossain jotain siihen tyyliin, että riitti kun joku arvasi salasanan. Jos näin olisi, niin olisi kai seuraavat mahdollisuudet:

Ainakin hyökkääjä väitti, että salasana olisi ollut root (ja käyttäjätunnus myös root) - eli käytännässä todennäköisesti tietokannan vakiosalana heti asennuksen jälkeen, ilman että salasanaa olisi koskaan kukaan vaivautunut muuttamaan (tämä vastaa käytännässä jonkun numerolukon tai SIM-kortin 0000:aa tai 1234:sta oletuskoodina, joka on todellakin tarkoitus vaihtaa). Jos tuo kone vielä on ollut suoraan julkisessä netissä (eikä esimerkiksi jonkun palomuurin takana), jolloin siihen on voinut ottaa yhteyden mistä päin maailmaa hyvänsä, niin ei ole ihme jos siihen on murtaudutu. Eikä ole myöskään ihme, jos siihen on murtauduttu kenties useitakin kertoja. Käytännössä suoraan nettiin näkyviin IP-osoitteisiin käy kaikenlaisia "kolkuttelijoita" yrittämässä valtavia määriä jo yhden vuorokauden aikana ja joku root/root lienee yksi eniten kokeilluista arvauksista.

Pistäkää serveri pystyy ja nettiin katsokaa kuinka monta kertaa sinne yritetään sisään.Kunnon noob toimintaa,tuolla käynyt kuitenkin niin ettei kellään ollut admin oikkia että olisi saanut vaihdettua salasanan.

/offtopic
Noita on nykyään niin monenlaisia että en yhtään ihmettele että jotain tollaista tapahtuu.Noi ei ole mitenkään "käyttäjäystävällisiä" ja siellä on vaikka mitä mitä pitäisi säätää.Toi tosin on klassinen jos ei adminin tunnareita vaihda.Sinäänsä ymmärrettävää koska noita tunnuksia/salasanoja voi olla ihan hitosti ja jos/kun unohdat ne niin niiden vaihtaminen voi olla hiton vaivalloista ja ongelmallista.

Itse asiassa, koko salasanasysteemi on nykyään täysin vanhentunut ja pitäisi korvata jollain idioottivarmalla tietokonepohjaisella järjestelmällä. Mikä se sitten olisi, sitä en itse vajavaisine kykyineni/taitoineni pysty sanomaan ja annankin sen ratkaisun parempien asiantuntijoiden pohdittavaksi.

[ikuturso]

Kansanedustaja epäilee olevansa yksi tietovuodon uhri

Eeva-Johanna Eloranta (sd) kertoo kuulleensa asiasta torstaina. Eloranta kertoo, että häneen otti yhteyttä erään median edustaja, joka kertoi huomanneensa Elorannan tietoja Vastaamosta vuodetuissa tiedoissa.

[...]

Ilta-Sanomat, 23.10.2020 klo 23:10

Lainaukseen korostamani on mielenkiintoinen. Mistä "erään median edustaja" on saanut näitä tietoja?

Sanotaanko näin, että pistipä muuten vituttamaan kun luin tämän (vaikken olekaan Vastaamon asiakas)
https://yle.fi/uutiset/3-11606925

Oikeiden ihmisten tietoja
Yle on nähnyt potilastiedoiksi väitetyt tiedostot ja tehnyt vertailua kahdessa niistä ilmoitettujen nimien, väestörekisterin ja sosiaalisen median välillä. Potilastiedoissa kerrotut henkilötiedot ovat oikeiden ihmisten tietoja.

Myös potilaskertomukset vaikuttavat aidoilta, mutta ulkopuolisen on mahdoton varmistua niiden sisällön todenperäisyydestä.

Että toimittajat siis eivät ole vain saaneet näitä tietoja käsiinsä. Saati sitten, että olisivat vain tyytyneet vilkaisemaan niitä....

Tästä kyllä voisi jo tehtailla tutkintapyyntöä ainakin asianosaiset.

Ylen toimittaja siis on ottanut sieltä nimiä, verrannut oikein väestörekisteriin ja sitten kaivellut jotain twöttereitä ja fb-tilejä ja vertailleet tietoja, osoitteita, naamoja ja sitten vielä lukeneet potilaskertomuksia, jotka "vaikuttavat aidolta, mutta eivät voi varmistua". Monikohan siellä on tilittänyt jotain luottamuksellista, johon viittaavia twiittejä tai fb-päivityksiä toimittajat ovat urkkineet "varmistuakseen potilaskertomuksien aitoudesta?".

Jostain luin, että toimittaja ei syyllisty rikokseen, jos toimituksellisista syistä saa käsiinsä tällaista aineistoa ja lukee sitä. Mutta nuo somen ja väestörekisterin veivaamiset kuulostavat jo sellaiselta pommilta, että se ei enää kuulu toimittajan vapauksiin. Ja ihan varmaan deletoivat nuo saamansa aineistot viimeistään eilen? Vai onko ne talletettu johonkin työryhmäfolderiin toimituksen jaetulle levylle, josta niitä käy kukin vuorollaan lukemassa?

-i-

[starsailor]

Kävin katsomassa tietoja tor selaimen kautta, mutta mitään mielenkiintoista ei löytynyt ainakaan pienellä vaivalla. Pätkiä oli joidenkin lausunnoista laitettu julki, mutta ei mitään erikoista. Ajattelin, että jos löydän jotain vastapuolen tietoja tuolta, mutta tarkemmin ajateltuna tiedän jo heidän olevan sekopäisiä, joten mitä varmistusta tarvitsen asiaan? En mitään.

[Nuivinator]

Ei henkilötunnusta pidä käyttää mihinkään autentikoimiseen. Eikä ole ikinä pitänyt.

Hetu on vähän niinkuin sarjanumero laitteessa. Hetusta näkee syntymäajan, joka on joissakin yhteyksissä hyvinkin tarpeellinen tieto. Hetun tietämällä ei ikinä ja missään olosuhteissa pitäisi pystyä tekemään mitään sitoumuksia.

Jos vaikka hetu korvataan jollain UUID:lla kuten nykyjärjestelmissä on usein tapana, niin kyllähän sekin vuotaa kaikkien muiden juttujen mukana ulos jos järjestelmän tekijä on niin pyllystä ettei salasanaa osaa vaihtaa.

Tässä asiassa ei ole edelleenkään kyse mistään paperi vs digi; tässä casessa on ihan puhtaasti kyse silkasta typeryydestä. Kummallakin tavalla voidaan toteuttaa asiat turvallisesti jos niin halutaan.

Menneiltä vuosilta muistan lukeneeni useita kertoja uutisista, kuinka joltakin jätelavalta on löytynyt terveysalan firmojen paperiarkistoja. Löytäjät ovat toimineet fiksusti eivätkä ole lähteneet tekemään niillä kiristysbisnestä.

@Emo Älä viitsi tunkea sanoja suuhuni tai epäillä muistiani.

[Nuivinator]

Sanotaanko näin, että pistipä muuten vituttamaan kun luin tämän (vaikken olekaan Vastaamon asiakas)
https://yle.fi/uutiset/3-11606925

Oikeiden ihmisten tietoja
Yle on nähnyt potilastiedoiksi väitetyt tiedostot ja tehnyt vertailua kahdessa niistä ilmoitettujen nimien, väestörekisterin ja sosiaalisen median välillä. Potilastiedoissa kerrotut henkilötiedot ovat oikeiden ihmisten tietoja.

Myös potilaskertomukset vaikuttavat aidoilta, mutta ulkopuolisen on mahdoton varmistua niiden sisällön todenperäisyydestä.

Että toimittajat siis eivät ole vain saaneet näitä tietoja käsiinsä. Saati sitten, että olisivat vain tyytyneet vilkaisemaan niitä....

Tästä kyllä voisi jo tehtailla tutkintapyyntöä ainakin asianosaiset.

Ylen toimittaja siis on ottanut sieltä nimiä, verrannut oikein väestörekisteriin ja sitten kaivellut jotain twöttereitä ja fb-tilejä ja vertailleet tietoja, osoitteita, naamoja ja sitten vielä lukeneet potilaskertomuksia, jotka "vaikuttavat aidolta, mutta eivät voi varmistua". Monikohan siellä on tilittänyt jotain luottamuksellista, johon viittaavia twiittejä tai fb-päivityksiä toimittajat ovat urkkineet "varmistuakseen potilaskertomuksien aitoudesta?".

Jostain luin, että toimittaja ei syyllisty rikokseen, jos toimituksellisista syistä saa käsiinsä tällaista aineistoa ja lukee sitä. Mutta nuo somen ja väestörekisterin veivaamiset kuulostavat jo sellaiselta pommilta, että se ei enää kuulu toimittajan vapauksiin. Ja ihan varmaan deletoivat nuo saamansa aineistot viimeistään eilen? Vai onko ne talletettu johonkin työryhmäfolderiin toimituksen jaetulle levylle, josta niitä käy kukin vuorollaan lukemassa?

Toisaalla Ylen sivulla sanotaan näin:

Mitä tulisi tehdä, jos törmää vuodettuihin tietoihin verkossa?

Salassa pidettävän tiedon vuotaminen ei tee siitä julkista, sanoi tutkinnanjohtaja Marko Leponen Keskusrikospoliisista eilisessä tiedotustilaisuudessa.

Tietojen lukeminen on siis rikos. Sovellettavaksi tulisi todennäköisesti tietosuojarikos, sanoo rikosylikomisario Tero Muurman keskusrikospoliisista.

Tällainen rikosnimike tulee sovellettavaksi, jos esimerkiksi uteliaisuudesta käsittelee henkilötietoja ilman käsittelyyn oikeuttavaa perustetta. Maksimirangaistus on vuosi vankeutta, sanoo Muurman.

Loput linkin takaa.

https://yle.fi/uutiset/3-11613689

Pitäisiköhän tehdä rikosilmoitus Ylestä? Ei Ylellä pitäisi olla minkäänlaista oikeutta vilkuilla noita tietoja.

[starsailor]

Tietojen vilkuilusta tuskin saa rangaistavaa, jos näet ne palstalla, jossa muutenkin vierailet ja satut avaamaan ketjun tietojen tullessa silmille, niin mikä on se rikos ja missä kohtaa? Siinä vaiheessa, kun aletaan latamaan jotain paketteja koneelle, joiden tarkastelu vaatii niiden avaamista ja ne on nimetty etunimi.sukunimi tyylisesti, niin voidaan jo tehdä jotain rikollista...

[Emo]

Mitäs mieltä perssuomalaisset muuten olivatkaan hetu-uudistuksesta? Taisi olla joku maailmanloppu, jos tuo naurettavan helposti selville saatavissa oleva tunnus modernisoitaisiin edes vähän tietoturvallisemmaksi.

Se on ihan se ja sama onko tunnus nykyisenlainen tai moderni homolesbotransutunnus, koska kun se on netissä julkaistuna liitettynä sun nimees, niin ihan sama lopputulos.

Tietenkin, jos joku älyäis alkaa ajamaan kerran vuodessa vaihtuvaa henkilötunnusta 👍🏻

[akez]

Taloussanomia tänään silmäillessä tuli vastaa seuraava juttu, jossa kerrotaan Vincit oy:n ja Ellun kanojen lähtevää taisteluun kiristäjiä vastaa ja vastaiskut alkavat heti.

VINCIT HYÖKKÄÄ YHDESSÄ ELLUN KANOJEN KANSSA VOIMALLA VASTAAMON JA SEN ASIAKKAIDEN KIRISTÄJIÄ VASTAAN – #vastaisku käynnistyy heti, #terapiassatavataan

(...)
Teknologiayritys Vincit Oyj ja muutostoimisto Ellun Kanat ovat päättäneet hyökätä psykoterapiakeskus Vastaamon asiakkaiden ja työntekijöiden kokemaa kiristystä vastaan. Hyökkäys on tarkoitus käynnistää heti ja siihen liittyy kolme aaltoa, joita nyt ollaan rakentamassa. Ensimmäisessä aallossa Vincit luo verkkosivun, jossa tunnetut henkilöt kertovat suhteestaan terapiaan ja sen luonnollisuudesta oman minän kehittämisessä. Mukana ovat mm. Kirsi Piha, Katleena Kortesuo, Michele Murphy-Kaulanen ja Sampo Kaulanen ja Mikko Kuitunen.
(...)

Alkuvaiheen vertaistuen jälkeen hyökkäys jatkuu Ellun Kanojen taisteluvuorolla ensin organisoimalla tutkimus siitä, kuinka yleistä terapiapalveluiden käyttäminen on ja sen jälkeen siirrytään varsinaiseen asemasotaan, ja suurelle yleisölle luodaan mahdollisuus tehdä verkossa omalla nimellään oma potilaskertomus #terapiassatavataan. Kun verkko täyttyy itse julkaistuista potilaskertomuksista, ovat ne sitten tosia tai eivät, kiristäjien syömähammas on tylpäksi hiottu ja ihmisten yksityisyys paremmin turvattu. Jokainen voi itse päättää mitä kertomukseensa laittaa.
(...)

Lihavoinnit mun.

Vertaistukea tuolla varmasti pystytään tuottamaan, mutta epäilen kovin, että ovatko ihmiset halukkaita laatimaan nettiin itsestään edes fiktiivisiä sairaskertomuksia. Joku voi ottaa ne todesta.

[L. Brander]

Ihmiset sanovat, etteivät usko mukana olleen valtiollista toimijaa. Mitä sitten? Kai nyt kaikki ymmärtää, että jonkun jakaessa datakakkua, jossa on kymmenien tuhansien ihmisten tietoja, voi sieltä löytyä vieraalle vallalle mielenkiintoisia ihmisiä. Sotilaita, poliiseja, teknologiateollisuutta jne. Tietysti eri valtiolliset toimijat imuttaa datan itselleen. Johan sieltä kannattaa käydä katsomassa, ettei joku laillisuuden tai hyvien tapojen rajamailla häilyvä yhteistyötä tekevä henkilö ole tilittänyt terapiassa ja tule nyt siten paljastetuksi.

EDIT: Tietenkään ei pidä lisätä datassa olevien tuskaa eikä dataa saa pois netistä. Mutta ei saa myöskään olla lapsellinen ja voivotella, kun pitäisi toimia. Tämä on raukkamaisen rikoksen lisäksi myös oikeasti aika iso juttu, joka poliisin, tuon firman, tietoturvayhtiöiden ja sosiaali- ja terveysviranomaisten pitää hoitaa nyt tekemällä kaikki, mitä tehtävissä on.

[starsailor]

Aina kun joku taho lähtee hyökkäykseen, niin tiedät, että sieltä on nimiä listalla. Mielestäni nämä avautujat toimivat väärin, vaikka ovat saaneet kiristyspostia. Eivät reagoisi mitenkään, niin kukaan ei voisi nostaa niitä julki, koska se olisi autom. kunnianloukkaus. Nyt ihmiset tietävät nimiä mitä etsiä ja uteiliaisuus voittaa.

[Kauko-Aatos]

Ylen toimittaja siis on ottanut sieltä nimiä, verrannut oikein väestörekisteriin ja sitten kaivellut jotain twöttereitä ja fb-tilejä ja vertailleet tietoja, osoitteita, naamoja ja sitten vielä lukeneet potilaskertomuksia, jotka "vaikuttavat aidolta, mutta eivät voi varmistua". Monikohan siellä on tilittänyt jotain luottamuksellista, johon viittaavia twiittejä tai fb-päivityksiä toimittajat ovat urkkineet "varmistuakseen potilaskertomuksien aitoudesta?".
-i-

No YLE:n toimittajathan rinnastavat itsensä muutenkin viranomaisiin ja oikeuslaitokseen, joten tämähän on vaan sellaista tavallista viranomaistyötä.
"Vastuullinen Media" jne.

[ikuturso]

Mitäs mieltä perssuomalaisset muuten olivatkaan hetu-uudistuksesta? Taisi olla joku maailmanloppu, jos tuo naurettavan helposti selville saatavissa oleva tunnus modernisoitaisiin edes vähän tietoturvallisemmaksi.

Tietoturvallisuus? Täh?

Hakkeri hakkeroi tietokannan jossa nyt:
Vöyri Vöyrinen 121292-1234
Tietokannassa ei syntymäaikaa, kun se selviää hetusta.

Vihreässä utopiassa hakkeri hakkeroi tietokannan vuonna 2030, jossa silloin:
Vöyri Vöyrinen 2347899875 synt. 12.12.1992
Syntymäaika lisätty, koska ikä oleellinen tieto potilastietokannassa.

Hakkeri haluaa väärinkäyttää Vöyrisen hetua, ja hakee lainaa nyt. Täyttää lomakkeeseen:
Nimi Vöyri Vöyrinen
Hetu 121292-1234

Hakkeri haluaa väärinkäyttää Vöyrisen hetua v. 2030 Täyttää lomakkeeseen:
Nimi Vöyri Vöyrinen
Hetu 2347899875
Synt 12.12.1992

Miten tämä liittyy tietoturvaan?
Vaikka uusi hetu olisi 30-numeroinen, jos se löytyy kokonaisena hakkeroidusta tietokannasta, digittien määrällä ja formaatilla ei ole tietoturvan kannalta mitään merkitystä.

-i-

[Vesa Heimo]

Vaikka uusi hetu olisi 30-numeroinen, jos se löytyy kokonaisena hakkeroidusta tietokannasta, digittien määrällä ja formaatilla ei ole tietoturvan kannalta mitään merkitystä.

-i-

Kokeile vaihtaa nykyistä hetua joka kokonaan perustuu syntymäaikaan vrt. vaihtaa hetu vartin viranomaistoimenpiteellä koska se on hakkeroitu. Ihan kun osoitteenmuutoskin menee kerrasta vaikka mille tahoille, mm. luotonantajille, niin saman tien kun tiedät tietojesi olevan vaarassa, henkilökohtainen tunnistuskoodi vaihtuu ja pankit, Visa sun muut tietää että toi on rikollinen tunnus. Ihan kun kuolettas pankkikortin ja viikko-pari sulla on uusi koodi. Nykyjärjestelmässä se ei onnistu.

[Eisernes Kreuz]

Jos nyt Ylen toimittajat lueskelisivat noita tietoja enemmänkin sen jälkeen, kun olisivat ensin todenneet niiden olevan salassa pidettäviä potilastietoja, niin nähdäkseni he syyllistyisivät tietosuojarikokseen, josta säädetään rikoslain 38 luvun 9 §:ssä.

Salassa pidettävä tieto ei muutu luonteeltaan julkiseksi tietomurron seurauksena.

[Savi]

Taloussanomia tänään silmäillessä tuli vastaa seuraava juttu, jossa kerrotaan Vincit oy:n ja Ellun kanojen lähtevää taisteluun kiristäjiä vastaa ja vastaiskut alkavat heti.

Lihavoinnit mun.

Vertaistukea tuolla varmasti pystytään tuottamaan, mutta epäilen kovin, että ovatko ihmiset halukkaita laatimaan nettiin itsestään edes fiktiivisiä sairaskertomuksia. Joku voi ottaa ne todesta.

Tämä kuullostaa hienolta operaatiolta vaikka taustalla onkin ellunkanat. Olen itse käynyt terapiassa kun masennuinkeskivaikeasti ja sitten iski päälle vielä vakavasairaus, en nyt suoraan lupaudu mutta periaatteessa suhtaudun tuonne kirjoittamiseen omasta kokemuksestani positiivisesti.

[kgb]

Lievästi asian vierestä: @kgb tai joku muu mode, kun Homman yksityisviestit tuhoaa sekä kansioista lähetetyt että vastaanotetut, niin poistuvatko lopullisesti, vai menevätkö ne roskikseen, josta ne voi myöhemmin kaivaa esiin, esimerkiksi tuomioistuimen päätöksellä? Entä voiko niitä kaivaa esiin serverin varmuuskopioista, ja jos voi, kuinka pitkän aikaa se on mahdollista?

Systeemi ei yksäreistä mitään tuhoa, merkitsee vastaanottajan puolelta luetuksi kun lukee, vastatuksi kun vastaa ja poistetuksi kun poistaa mutta itse viesti säilyy. Lähettävässä päässä taas jos ei ole ruksannut että säästä lähetetyt niin siitä ei itselle jää jälkeä. Eikä tähän softaversioon ole edes sellaista modia jolla voisi poistamalla poistaa viestit. Tunnuksen poistamalla viesteistä toki sitten pääsee eroon. Valitettavasti.
Näitä kun ei ole millään lailla suunniteltu kovin turvalliseen viestintään, lähinnä kiinnitetty huomiota siihen, ettei kukaan random käyttäjä tai moderaattori/ylläpitäjä pääse viestejä lukemaan. Sitä en osaa sanoa, tuoko seuraava softaversio asiaan mitään parannuksia.

[Jaska Pankkaaja]

Koko uutinen olisi mennyt ainakin multa ohi vilkaisulla, siis en tiedä mikä kiinnostaisi vähemmän kuin jonkun sairaskertomukset, ei edes naapurien. Nyt on herännyt lievää kiinnostusta asiaan: miksi tästä on noussut näin helvetinmoinen kohu? Ei ole muuta selitystä kuin nimet ovat todellakin paljon kovempia kuin ex-poliitikko kirsipihoilla ja itse jututkin ehkä todella rajua settiä..

Vallassa oleville mätäpäille on kaikenlaiset päälääkärit ja muuta verorahoilla kustannetut ammattiymmärtäjät  tulleet hyvinkin tutuiksi ja kun suomalaisten todellista, ei siis keksittyä, kansanmurhaa tehdään niin vähintään joillakin näistä kusipäisillä "einsatzkommandoista" on tarvetta ammattilaisen tsempille. Ehkä ne nimet kannattaakin siis vilkaista, simmut kiinni aina kun nimi on mättimöttönen tms 

JOS olisi joku kansallismiesten tarvitsema vastaava palvelu josta löytyisi Jussia ja pers-kansanedustajia niin nimiä ja sairaskeromuksia luettaisiin teeveessä ja luultavasti jopa kirkoissa suureen ääneen joten älkää nyt viitsikö jeesustella.

[L. Brander]

Kyllä minä ymmärrän, että kohu nousee. Siellä on potentiaalisesti kymmenien tuhansien ihmisten tiedot. Osoitteet, henkilötunnukset ja miksi ihminen oli terapiassa. Joku ajelee niitä ristiin ja saa kaikki terapiassa käyneet Tampereen korkean paikan kammoiset siististi taulukkoon. Muitakin hakuja voi tehdä...

Todennäköisempää on tietysti noiden ihmisten henkilö- ja osoitetietojen käyttö erilaisissa petoksissa.

Lopuksi, ehkä se pienin, Suomi saa kyllä pienen mainekolauksen, mikä täällä on tietoturvan taso ja kuinka viranomaiset valvovat tietojen säilyttämistä. Tuolla on vieläpä ollut ainakin kahden sairaanhoitopiirin potilaiden tietoja. Pölyn hieman laskeuduttua, on mielenkiintoista kuulla, auditoiko julkinen puoli mitenkään tuo yhtiön tapaa säilyttää tietoja.

[pyrokatti]

Siihen kysymykseen, että ovatko omistajat olleet tietoisia tietomurrosta myydessään omistustaan Vastaamosta Intera Partnetsille taisi juuri tulla vastaus Iltalehdessä

[...]
Psykoterapiakeskus Vastaamon toimitusjohtaja Ville Tapio on vapautettu tehtävistään, asiasta kertoo Ilta-Sanomat.

Tapio on ollut sivussa tehtävistään nyt noin puolentoista viikon ajan. Varsinainen irtisanominen tapahtui tänään maanantaina.

Ilta-Sanomien haastatteleman Vastaamon hallituksen puheenjohtajan Tuomas Kahrin mukaan Tapio pimitti tiedon yhtiön palvelimille tehdystä tietomurrosta yli puolentoista vuoden ajan.

Vastaamon omistava Intera Partnetsin holding-yhtiö PTK Midco Oy on aloittanut siviilioikeudelliset toimenpiteet, joita Kahri ei toistaiseksi juuri avaa.
[...]
Kesäkuussa 2019 Vastaamo vaihtoi omistajaa. Intera Partnets osti Vastaamon osake-enemmistön. Toimitusjohtaja ei kertonut tietokannan vuotamisesta uusille omistajille.
[...]

Muoks: Lisätty lainausta.

[ikuturso]

Koko uutinen olisi mennyt ainakin multa ohi vilkaisulla, siis en tiedä mikä kiinnostaisi vähemmän kuin jonkun sairaskertomukset, ei edes naapurien. Nyt on herännyt lievää kiinnostusta asiaan: miksi tästä on noussut näin helvetinmoinen kohu?

Joku nuori tilittää tehneensä abortin vanhempien tietämättä, kertoo myyneensä itseään tai tulleensa raiskatuksi. Sitten koulukaverit lukevat tämän tor-verkossa levitetystä paketista. Siinä on todella pahat jutut jopa itsemurhat mahdollisia.

Tai niin kuin tuolla jo joku väitti lukeneensa ylikseltä, että joku kertoi terapeutille pettäneensä miestään. Jos tämä tulee miehen tietoon, siellä voi kohta olla eroja tai pahoinpitelyitä tai ihan mitä vaan.

Ihminen saattaa avata sielunsa pimeimmät sopukat terapeutille. Fantasiat poliittisen vastustajan tappamisesta - ja nyt ei ole kyse välttämättä mistään spekulaatiosta, vaan joku voi ihan tosissaan kertoa, että tyytyi tööttäämään skineille vaikka teki mieli ajaa ylitse ja joutui tosissaan pitämään kaasujalkansa kurissa, että ei murhannut ihmisiä.

Eihän monilla noista kertomuksista olekaan sensaatiomielessä merkitystä, mutta jos ne vuotavat läheisille, työnantajille, työtovereille... Olisiko mukava työskennellä kollegan kanssa, joka olisi vaikka sanonut terapeutille, että jos ei pysty hillitsemään itseään, on vain ajan kysymys koska pudottaa nosturista betonielementin päällesi?

-i-

MUOKS: juuri otsikko iltalehdessä, joka ei liity Vastaamoon, mutta liittyy yllä spekuloimaani:

Syyte: Mies sai tietää avopuolisonsa pettävän – ajoi kännissä kotiin ja surmasi vieraan miehen sänkyyn

[Lalli IsoTalo]

Systeemi ei yksäreistä mitään tuhoa ...

Kiitos!

Näitä kun ei ole millään lailla suunniteltu kovin turvalliseen viestintään...

Itse asiassa joku saattaisi pitää Homman yksäreitä turvallisempana kuin gMailia tai Messangeria.