Tietosuojavaltuutettu kertoo suomalaisen ohjelmistoyrityksen tietojärjestelmiin kohdistuneesta tietoturvaloukkauksesta, joka koskee tuhatta henkilöä.
Tietosuojavaltuutetun toimiston saaman selvityksen mukaan ulkopuolinen henkilö tai -ryhmä on ollut Lemonsoft Oyj:n järjestelmässä 15.2.—26.3.2023 välisen ajan. Yritys havaitsi murron vasta 25. maaliskuuta 2023.
Tietosuojavaltuutetun toimiston mukaan murron tehnyt taho on päässyt käsiksi 1000 henkilön tietoihin. Tiedot pitävät sisällään nimen, syntymäajan, henkilötunnukset, yhteystiedot, taloudellista asemaa koskevia tietoja sekä muita tietoja.
Kyseiset henkilöt ovat olleet yrityksen asiakkaita, työntekijöitä ja järjestelmän käyttäjiä.
Tietosuojavaltuutetun toimiston mukaan henkilöille, joita asia koskee, on ilmoitettu tapauksesta.
Kyseessä on ollut Lemonsoft Oyj:n vanhempi ja kesällä 2023 suljettu järjestelmä, joka sittemmin on korvattu uudella. Murtautuja vei mukanaan 11 gigatavun verran dataa, mihin mahtuu oleellinen osa koko järjestelmän henkilötiedoista.
Tietosuojaloukkaus on tehty käyttämällä BlackCat -kiristyshaittaohjelmaa. Lisäksi Lemonsoft on saanut tämän tyyppiseen tietoturvaloukkaukseen tyypillisen kiristyskirjeen tai TOR-verkon onion-url-osoitteen, mikä niin ikään viittaa siihen, että dataa on viety järjestelmästä ulos.