Vastaamo-kiristäjää jahtaavat muutkin kuin poliisi – MTV Uutiset vieraili valkohattuhakkerin työhuoneessa: "Tietomurtaja on tehnyt monia virheitä"

Särkkä kääri hihat psykoterapiakeskus Vastaamon tiemurron tekijän löytämiseksi miltei heti kuultuaan tapahtuneesta. Hän kuuluu tietoturvatutkijoiden yhteistyöpiireihin, joissa jaetaan tietoja siitä, mitä kukakin on saanut selville. Hän on niin sanottu "valkohattuhakkeri".

Valkohattuhakkerit, eli hyvin tarkoitusperin hakkerointia tekevät, keräsivät Vastaamon tapauksesta kaiken tiedon, mitä verkosta oli saatavilla.

– Osa tutki myös palvelinta, jossa tietomurto tapahtui. Itse en kuitenkaan lähtenyt siihen, sillä siinä menee aika selvästi se eettisen hakkeroinnin raja, jos aletaan itse käyttää rikollisia keinoja tekijän selvittämiseksi, Särkkä kertoo.

Särkkä paljasti MTV Uutiset Liven lähetyksessä jotain siitä, mitä hän on saanut selville tietomurron mahdollisesta tekijästä. Koko haastattelun voit katsoa artikkelin yltä. 

Tekijän jäljillä

Särkällä on aavistus, millainen ihminen saattaisi olla Vastaamon tietomurron takana. Hän kuitenkin korostaa, että kyse on spekulaatiosta, eikä hän välttämättä ole oikeassa. Hän ei myöskään halua paljastaa kaikkia tietojaan medialle, jotta ketään syytöntä ei leimata.

– Geolokaation perusteella tekijä asuu Etelä-Suomessa ja mainostietojen perusteella tekijän käyttöjärjestelmän kieli on ruotsi, Särkkä paljastaa.

Valkohattuhakkerit ovat pyrkineet rakentamaan aikajanaa tekijän liikkeistä saatavilla olleen tiedon pohjalta. Särkkä on myös analysoinut tietomurron tekijän kielenkäyttöä kiristysviesteissä.

– Kielenkäytön perusteella vaikuttaa siltä, että tekijä on jostain syystä vihainen Vastaamolle. Hän voisi olla esimerkiksi entinen työntekijä tai asiakas, Särkkä pohtii.

Tor-verkossa nimimerkillä ransom_man toimineella Vastaamon tietomurtajalla ei Särkän arvioiden mukaan ole aiempaa rikostaustaa, koska teot ovat vaikuttaneet amatöörimäisiltä.

– Tekijällä ei ole ollut käsitystä siitä, miten perinteinen media toimii ja miten kiristys toimii.

Vaikka Särkän arvaus osuisikin oikeaan, tekijää ei voisi tuomita noin vain. Viranomaisten täytyy tehdä tutkimustyö ja hankkia todisteet, ennekuin valkohattujen spekulaatiot voidaan osoittaa todeksi.

– On toki epäselvää, onko tietomurron tekijä sama, kuin kiristysviestien lähettäjä tai onko heitä useampi, Särkkä lisää.

Hakkeri huolissaan potilastietokantojen tietoturvasta

Särkkä pystyy vain parilla klikkauksella näyttämään, minkä suomalaisen yrityksen asiakastiedot ovat yhteydessä suoraan internetiin. Tuloksia ilmestyy ruutuun satoja.

– En sano suoraan, että tietoturva olisi suomalaisissa yrityksissä huonolla tasolla. Sen voin kuitenkin sanoa, ettei se kovin korkealla tasolla ole.

Tämä ei suoraan tarkoita sitä, että tietoihin pääsisi helposti käsiksi kuka vain. Jo se on kuitenkin hieman huolestuttavaa, että niin moni yritys ilmestyi listalle.

– Vaikuttaa siltä, ettei resursseja ole ihan tarpeeksi, jotta kokonaisuus olisi sillä tasolla, kuin pitäisi. Varsinkin, kun otetaan huomioon kuinka kriittisiä ne tiedot ovat.

Vastaamon tietoja listalta ei enää löydy. Särkkä arvioikin, ettei Vastaamon tietoturva ollut niin huono, kuin aluksi luultiin.

– En oikein usko siihen, että se olisi ollut niin huonosti suojattu, kuin aluksi kerrottiin. Jos käyttäjätunnus ja salasana olisivat olleet vain root:root, tiedot olisi löydetty ja hyödynnetty heti.

Root-salasanalla ja -käyttäjätunnuksella Särkkä viittaa siihen, että Vastaamo olisi jättänyt palvelimiensa oletussalasanat muuttamatta.

Tietomurrot ja -vuodot ovat Särkälle arkipäivää. Poikkeuksellisen tapauksesta tekee kuitenkin potilastiedoilla kiristäminen. Hän toivoo, että Vastaamon tietomurtaja saadaan kiinni, mutta pelkää, ettei todisteita ole tarpeeksi.

– Aika mädättää todisteet myös tässä tapauksessa. Tietomurtaja on kuitenkin tehnyt monia virheitä matkan varrelta, joten jotain jälkiä hänestä on jäänyt.

Lue lisää: Hakkerilta karu näkemys suomalaisyritysten tietoturvasta: "Kaikilla on jotain puutteita"

Lue lisää: Kuusi kysymystä Tor-verkosta: Uskaltaako Tor-selaimen ladata kotikoneelle? Miten on mahdollista, että tiedon verkkoon ladannutta henkilöä ei voida jäljittää?

Lue lisää: Tietoturva-asiantuntija: Vastaamon johto vastuussa tietomurrosta – "Riskienhallinta petti, pahoin pelkään, että vastaavia tietomurtoja tulee jatkossakin"