Jukka-Pekka Puro永远不会忘记2017年。面对离婚的伤心欲绝,Puro是芬兰西南部图尔库的一名大学讲师,他陷入了沮丧的困境。当医生告诉他他患有侵袭性肾癌,并且活了不超过几年时,这变成了自杀念头。他知道他需要专业的帮助。
普罗求助于一家名为Vastaamo的私人公司,该公司在芬兰设有25个治疗中心,并为芬兰的公共卫生系统分包了心理治疗服务。通过几次治疗,他透露了有关个人生活和心理健康问题的详细信息,并慢慢接受了他即将死亡的消息。
经过几次会议后,Puro的治疗师继续寻找新的工作,据说他说他无能为力了。从那以后,Puro就一个人管理了,但是他的故事又经历了一次黑暗的转折-使他摇摇欲坠。 Vastaamo的一次数据泄露导致Puro和其他成千上万的脆弱人群被犯罪分子勒索,威胁要暴露其高度敏感的数据。
十月份,有消息称Vastaamo的内部系统已被访问,其400名员工和大约40,000名患者的数据被盗。地址,联系方式以及政府颁发的唯一的芬兰身份证号码被盗,使受害者容易遭受欺诈和身份盗用。一部分被盗数据还包括治疗记录和诊断。
该数据是通过Vastaamo定制的IT系统中的一个安全漏洞访问的,该公司的联合创始人兼首席执行官Ville Tapio是受过培训的产品开发人员,接受过市场营销方面的培训,并委托了一组内部软件开发人员去创造。
试图从Vastaamo勒索40比特币(403,000英镑)赎金后,身份不明的罪犯开始针对包括儿童在内的单个受害者的付款。 Puro于10月24日收到一封电子邮件,要求支付200欧元的比特币;如果他在24小时内没有付款,赎金将提高到500欧元,否则他与治疗师的谈话内容将被公开。
勒索者的名字叫“ RANSOM_MAN”,声称他们每天将100个人的数据发布到自己的Tor文件服务器上,直到他们从Vastaamo收到比特币为止。由于公司的抵制,“ RANSOM_MAN”发布了300个人的个人数据,其中包括各种公众人物和警察。他们在Torilauta(意为“市场委员会”)上与人们进行了交流,Torilauta是一个暗网上的芬兰讨论论坛,该论坛于11月1日关闭。关闭与违规无关。
“您希望任何一家公立医院推荐的公司都拥有安全的系统来保护其数据,” Puro说。 “某个地方的某人了解我的情绪并可以读取我的私密文件这一事实令人不安,但这也影响了我的妻子和孩子。例如,有人知道他们对我的癌症有何反应。”
除此之外,Puro害怕有人可以利用他的信息来窃取他的身份。 “虽然我的生命不多了,但是如果有人在我去世后使用我的个人数据会怎样?我对此无能为力。”
即使在经验丰富的网络犯罪调查人员中,Vastaamo数据的勒索也很罕见且令人痛苦。这不仅是因为数据泄露的规模或数据的极端敏感性,而且还因为对个人的追求表明了战术的升级。芬兰网络安全公司F-Secure的首席研究官MikkoHyppönen说,医学界还值得注意的是Vastaamo向黑客敞开了大门。
数据保护监察专员和芬兰国家调查局目前正分别对Vastaamo及其几个代理商进行正式调查。因此,此案将对医疗机构维护其网络安全的义务以及未能做到这一点的问责制产生广泛影响。
Vastaamo的一次重大违规事件发生于2018年11月25日,当时存储所有数据的电子患者注册表(EPR)的大小刚刚超过33,000个客户。芬兰国家调查局首席调查员Marko Leponen说,此时的安全性“没有达到保护系统所需的水平”。他补充说,在此之前数据也有可能被盗,因为“ [EPR]长期以来一直向互联网广泛开放。”由于案件的敏感性,Leponen拒绝进一步评论有多少数据被盗。
数据日志显示,2019年3月再次访问了EPR,但不知道这是否是同一位黑客。也不清楚是什么数据。 Leponen说,此漏洞促使Vastaamo解决了这些漏洞,但是在此之前可以访问数据。 Leponen说:“我认为该数据库中可能存在某种形式的聚会。”
目前尚不确定这些安全漏洞的确切细节,但据报道,可以通过简单的Google搜索来访问有关Vastaamo EPR的历史性文件。这不仅引起了人们的兴趣,而且还存在指向其服务器的链接。甚至有可能通过搜索找到EPR本身。从理论上讲,这意味着具有正确的用户名和密码组合的任何人都可以访问它,并且有传言说密码设置保留为默认的“ root-root”。在Torilauta上写的“ RANSOM_MAN”甚至声称已通过默认的用户名和密码访问了EPR。
Tapio承认“犯了错误”,甚至可以在线访问数据库本身,但他否认了“广泛散布的虚假信息”,他负责管理公司的服务器及其相关证券。他说:“我认为这显然不是300人公司的首席执行官所要做的。”不过,他确实说过,访问密码从未被保留为默认密码,并暗示“ RANSOM_MAN”声明中的这种“不准确性”表明他实际上并未获得数据。他说:“勒索者对[骇客]的说法是不正确的。” “技术细节不匹配。”
敲诈勒索者于2020年9月底(即初次违约后近两年)与三名Vastaamo员工接触。延迟的原因尚不清楚;可能是勒索者从黑客那里购买了数据库,或者黑客花了一些时间才意识到他们发现的价值。 Vastaamo官员向国家调查局和数据保护申诉专员报告了这一威胁,但一直等到10月21日才公开。它说,由于警方的调查,它在此之前无法公开上市。它雇用了私人网络安全公司Nixu来检查其系统。
10月24日,数以千计的患者和员工通过电子邮件收到了威胁信息,有关违规的消息传开了。数据表明,大约有36,000例患者报告被盗。超过25,000名受害者向警方报告了勒索事件,并且有10至20人支付了赎金。其他人尝试付款,但失败了。 Vastaamo已通过电子邮件,信件和电话发送了超过37,000条消息,通知受害者有关安全漏洞的信息。
除了300名患者的数据外,“ RANSOM_MAN”还于10月23日上午通过其服务器提供了10.9GB的TAR文件。目前尚不清楚该文件是什么,但如果它包含完整的患者数据库,那么很多人可以下载了它,获得了勒索他人的工具。一个令人担忧的问题是,很难确定这些数据已经传播了多少,而且网络犯罪分子的官员可能会在多年的“ mol鼠”游戏中发现自己。上传几小时后,文件消失了。
此后不久,RANSOM_MAN的服务器消失了,引发了人们猜测Vastaamo已向勒索者付了钱。警方已要求Vastaamo将细节保密,但Vastaamo现任首席执行官HeiniPirttijärvi否认已付款。在论坛关闭之前,RANSOM_MAN在Torilauta上发布了几次。 Hyppönen说:“我认为他下岗是因为他改变了策略”。 “他接受Vastaamo不会付款,而是去追捕受害者,以获得至少一些钱。”
当Vastaamo于10月26日宣布罢免首席执行官Ville Tapio时,影响仍在继续。根据接替塔皮奥担任首席执行官四周的托马斯·卡赫里(Tuomas Kahri)的说法,塔皮奥至少自2019年3月以来就很可能知道这一违规行为,但没有披露。 Tapio公开否认了这些指控,并解释说:“只有在2020年10月Nixu进行的研究的基础上,才向他揭示了2018年11月的数据泄漏及其导致的错误,”他在Facebook帖子中写道。
第二天,赫尔辛基地方法院下令应临时扣押Tapio的价值超过1000万欧元的资产,该申请是根据PTK Midco Oy提出的,该公司于2019年6月购买了Vastaamo的投资工具背后的控股公司。销售时出现的安全故障。根据PTK Midco的说法,Tapio可能“隐瞒,破坏或交出”财产或以危害其主张的方式行事。
Tapio说,他被“错误地”标记为应对违规行为负责。他声称,Vastaamo的系统在2017年之前是完全安全的,当时员工通过重新配置公司的安全系统以适应远程管理工具,将EPR暴露在互联网上。他还声称,2018年和2019年的数据泄露事件“很可能被发现并掩盖了”。在2019年3月,他重新安装了数据库服务器的防火墙,但他并没有参与任何此类对话。 “在2017年11月之前,系统未包含可能导致2018年和2019年数据泄露的漏洞。” Tapio说,每当公司开设新的心理治疗中心时,其做法和系统都会受到官员的检查。
到2020年9月,有关违规行为的消息浮出水面时,Tapio向警方报告了这一事件,并委托Nixu进行了故障检测调查。 “已经发生的数据泄露是一个不可理解的悲剧,应该永远不会发生。这件事令我震惊。”塔皮奥说。 “对于所有其他利益相关者,我深表歉意。我理解自己作为首席执行官的责任,但我也因许多错误的理由而受到指控。”
Leponen表示,除了努力识别黑客外,他还根据芬兰刑法准备针对几名Vastaamo员工的案件。该规范说,一个人在故意或严重疏忽的情况下处理个人数据以侵犯数据主体的隐私,可能给他们带来罪恶,从而给他们带来“损害或极大的不便”。芬兰法律尚无先例,但Leponen认为他的团队有足够的证据起诉10名Vastaamo员工。莱彭宁说,这些案件将在明年提交芬兰法院。被判有罪的任何人都可能面临罚款或入狱一年。
Vastaamo也出现在十字线中。芬兰的国家数据保护部门,数据保护监察员办公室也在研究Vastaamo的责任。一个关键的问题是,作为数据控制者的Vastaamo是否按照GDPR采取了行动。如果能够成立,公司将在2019年3月知道该漏洞,那么Vastaamo可能已经违反了GDPR第34条,该条要求控制者向受影响的人们传达数据泄漏而不会造成不必要的拖延。 Vastaamo可能被命令支付行政罚款。
芬兰数据保护监察专员贾里·拉曼(JariRåman)表示:“虽然我无法评论此次攻击的确切细节,但我只能说他们[Vastaamo]敞开了大门,公开了宝贵的资产。”
“我们的内部调查表明,在2019年4月之前,Vastaamo的客户信息系统的安全性存在缺陷,并且看起来犯罪分子已使用它来访问客户数据库,” Vastaamo的新任首席执行官HeiniPirttijärvi说。 “由于犯罪,我们的客户信息落入了错误的手中。我们对此深感抱歉。”
至于Vastaamo系统的安全性,Pirttijärvi说,负责健康和福利的国家机构Valvira现在已经对其系统进行了检查。 “ [它说,已经进行了必要的调整。我们也一直在监视局势。”Pirttijärvi说。 Pirttijärvi拒绝评论该安全漏洞的详细信息,并且“由于正在进行的调查,”为什么我们有理由相信前首席执行官知道第一次违规行为。 Vastamo在11月27日发布的声明中说,“大多数”客户“在Vastaamo继续接受治疗,这对我们来说是重要的信任,也表明我们的治疗服务与人们息息相关”。
瓦斯塔莫丑闻已经震撼了芬兰,并向其边界外发出了冲击波。这也是警告。 Hyppönen说:“医学信息几十年来一直保持爆炸性,我们要实现如何安全地存储它还有很长的路要走。” “没有人愿意成为下一个Vastaamo。”
在芬兰,人们已经感受到违反的影响。政府正在快速跟踪立法,允许公民在数据泄露事件中更改其个人身份代码,而数据泄露会带来很高的身份盗用风险。对Vastaamo黑客行为的调查结论以及所施加制裁的严重性,也有可能成为未来任何法律评估的参考点。
“有时候我会沮丧,无法入睡。有一次,我自杀了。” Puro说。 “但是无论如何我都会死,这不会花很长时间。对于我的妻子和孩子来说,这将永远影响他们。”
💡2020年惨淡,但是这32位创新者正在为我们所有人打造更美好的未来
Magic对于Magic Leap来说,这是一个艰难的时期。现在,该公司正在尝试重塑自己,并增强现实
🔊收听每个星期五播报的科学,技术和文化周《有线》播客
2021年《有线世界》是有关将影响来年的想法,趋势,技术,人员和公司的必不可少的简报。
现在购买