Markkinointi- ja yhteystietoyhtiö Fonectan Kohdistamiskone B2C -palvelusta on löytynyt merkittävä tietovuoto, kertoi Helsingin Sanomat torstaina. Yrityksille ja järjestöille suunnatussa palvelussa on ollut tavallisella asiakaskäyttäjätunnuksella saatavilla satojen järjestöjen ja yritysten rekisteritietoja.
HS:n mukaan osa rekistereistä on sisältänyt hyvin yksityiskohtaisia ja arkaluonteisia henkilötietoja. Mukana on muun muassa yhden ammattiopiston hieman yli 150 000 nykyisen ja entisen opiskelijan tietoja, lehti kirjoitti.
Fonectan mukaan tietovuoto rajoittuu yhteen palvelun käyttäjätunnukseen. Fonectan lakiasiainjohtaja Krista Koskinen kertoi STT:lle, että tietoja on katsellut yksi käyttäjätunnus ja sen kautta kaksi henkilöä.
– Heillä oli palvelun kautta nähtävillä joitakin satoja tiedostoja. He olivat katselleet niistä noin tusinan verran, Koskinen sanoi.
– Tiedossa on, että näitä katseltuja tietoja ei ole levitetty mihinkään.
Koskisen mukaan käyttäjätunnuksessa oli ollut asetusvirhe, joka oli antanut sille tavallista laajemmat oikeudet. Fonecta tutkii vielä, johtuiko asetusvirhe inhimillisestä vai teknisestä virheestä.
Palvelu suljettiin ja tyhjennettiin tiedoista
Fonecta sai tietovuodosta tiedon tiistaina HS:n kautta. Sen jälkeen palvelu suljettiin ja tyhjennettiin tiedoista, minkä jälkeen ryhdyttiin selvittämään tietovuodon syytä. Torstai-iltana palvelu oli yhä suljettuna.
Koskisen mukaan Fonecta on käynyt palvelun lokitiedot läpi ja varmistunut siitä, että tietovuoto koskee vain yhtä käyttäjätunnusta.
– Meidän on tarkoitus saada palvelu käyntiin mahdollisimman pian, kunhan on varmistettu, ettei vastaavaa voi tapahtua uudelleen.
Fonecta on ollut asiasta yhteydessä tietosuojavaltuutetun toimistoon, Väestörekisterikeskukseen sekä Liikenne- ja viestintävirasto Traficomiin.
Tietosuojavaltuutetun sijainen Jari Råman kertoi HS:lle, että tapauksesta oli torstaihin mennessä tehty kolme ilmoitusta. Hänen mukaansa asiaa ryhdytään selvittämään Fonectan ja ilmoitusten tekijöiden kanssa.
Fonecta on tiedottanut asiasta myös tietovuodon kohteena olleen palvelun käyttäjiä ja niitä, joiden tietoja käyttäjätunnuksen kautta oli päästy katselemaan.
Råman sanoi HS:lle, että toistaiseksi ei ole tietoa siitä, onko mahdollisesta loukkauksesta ilmoitettava rekistereissä oleville ihmisille. Koskisen mukaan asiasta keskustellaan tietosuojavaltuutetun toimiston kanssa, kun asian käsittely etenee.