Nell'ottobre 2022, ti abbiamo chiesto di farlo immagina di essere bloccato nella seguente terribile situazione:
Immagina di aver parlato con uno psicoterapeuta in quella che pensavi fosse totale sicurezza, ma il contenuto delle tue sessioni era stato salvato per i posteri, insieme a precisi dettagli di identificazione personale come il tuo numero di identificazione nazionale univoco e forse includendo informazioni aggiuntive come appunti sul tuo rapporto con la tua famiglia...
...e poi, come se non bastasse, immagina che le parole che non ti saresti mai aspettato di essere digitate e salvate, per non parlare a tempo indeterminato, fossero state rese accessibili su Internet, presumibilmente "protette" da poco più di una password predefinita che consente a chiunque di accedere a tutto.
Purtroppo, per decine di migliaia di pazienti fiduciosi dell'ormai in bancarotta Centro di Psicoterapia Vastaamo, è successo davvero.
Peggiora
Peggio ancora, un criminale informatico si è fatto strada nel sistema poco protetto e ha rubato tutti quei dati ultra-personali.
Peggio ancora, la società responsabile della protezione di quei dati ha deciso di tacere sull'intrusione, con l'amministratore delegato dell'azienda che apparentemente ha deciso di poter farla franca nascondendo la violazione alle autorità fintanto che non ne derivava alcun danno pubblicamente visibile.
Ma la violazione non poteva più essere negata una volta che la società è stata colpita da una richiesta di ricatto per € 450,000 (circa $ 0.5 milioni all'epoca).
In definitiva, come segnalati sull'Helsinki Times alla fine del 2022 in un articolo intitolato Pubblici ministeri: la sicurezza delle informazioni di Vastaamo era nel caos assoluto, l'ex CEO è stato accusato personalmente di reati in materia di protezione dei dati, anche se l'azienda stessa è stata vittima di un crimine informatico.
La cosa peggiore è stata che quando l'azienda stessa si è rifiutata di pagare i soldi del ricatto (che, come abbiamo sottolineato l'anno scorso, non sarebbe servito a molto dato che i dati erano già stati rubati), l'estorsore ha rivolto la sua attenzione direttamente al pazienti dell'azienda.
I pazienti sono stati ricattati per un importo di 200 euro ciascuno, con Brian Krebs, un investigatore specializzato in sicurezza informatica segnalazione nel 2022 che la domanda è balzata a € 500 se la "quota" iniziale non è stata pagata entro 24 ore, seguita dalla pubblicazione dei dati personali 48 ore dopo.
L'hacker ha minacciato di rilasciare non solo il tipo di informazioni che avrebbero aiutato altri criminali a compiere furti di identità, inclusi dettagli di contatto e dati identificativi, ma anche le trascrizioni salvate delle conversazioni dei pazienti che abbiamo menzionato all'inizio di questo articolo.
Le autorità finlandesi rilasciato un mandato di arresto per il sospetto hacker nell'ottobre 2022, rilevando che:
La polizia ha accertato che l'indagato risiede attualmente all'estero. Per questo motivo è stato rinviato in contumacia. Contro il sospettato è stato emesso un mandato d'arresto europeo. Può essere arrestato all'estero con questo mandato. Dopo di che la polizia chiederà la sua resa in Finlandia. Un avviso dell'Interpol sarà emesso anche nei confronti dell'indagato, che è cittadino finlandese e di circa 25 anni di età.
È apparso su I latitanti più ricercati di Europol elenco su 2022-11-03, imputato di otto reati: effrazione informatica aggravata, tentata estorsione aggravata, diffusione aggravata di informazioni in violazione della riservatezza personale, estorsione, tentata estorsione, effrazione informatica, intercettazione di messaggi e falsificazione di prove:
Sospetto arrestato
Bene, i finlandesi hanno appena annunciato che il sospetto è stato arrestato in Francia, dove è stato rinchiuso mentre è in corso l'elaborazione della sua estradizione in Finlandia.
Brian Krebs, noto per aver scavato nelle storie di famigerati hacker e sospetti hacker, ha pubblicato un rapporto che elenca una serie di precedenti crimini informatici per il quale Kivimäki è stato condannato, a quanto pare includendo attacchi denial-of-service sotto la bandiera di Lizard Squad, furto del codice sorgente da Adobe, utilizzo di carte di credito rubate e altro ancora.
Secondo Krebs, il sospettato è stato condannato per "aver orchestrato più di 50,000 crimini informatici", ma se l'è cavata con una pena sospesa e una piccola multa, essendo minorenne al momento di quell'attività criminale.
Dopo essere sfuggito alla pena detentiva, dice Krebs, il gruppo di hacker della Lizard Squad si è vantato apertamente su Twitter di "Tutte le persone che hanno detto che saremmo marciti in prigione non vogliono capire quello che abbiamo detto fin dall'inizio, noi avere pass gratuiti.
Se la sua estradizione dalla Francia viene approvata in questo caso, ed è condannato, non possiamo immaginare che le conseguenze siano tanto di un "pass gratuito" questa volta, ora che ha 25 anni.
Cosa fare?
- Prova cosa farai se subisci tu stesso una violazione. Non ti stai preparando a fallire se lo fai, ma non ti stai preparando se non lo fai. Scopri quali sono i tuoi obblighi di segnalazione e metti in pratica ciò che diresti alle persone interessate dalla violazione. Come suggerisce questo caso, una tempestiva divulgazione avrebbe almeno impedito a decine di migliaia di persone vulnerabili di venire a conoscenza della violazione da richieste di estorsione rivolte direttamente a loro e alle loro famiglie.
- Considera l'idea di presentare una denuncia personale se sei coinvolto in una violazione. Questo aiuta le autorità di regolamentazione e le forze dell'ordine a raccogliere prove; aiuta a determinare un livello di risposta adeguato (se nessuno dice nulla, allora è difficile convincere un tribunale che è stato fatto un danno reale); e aiuta le autorità a richiedere in futuro standard di sicurezza informatica più elevati.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://nakedsecurity.sophos.com/2023/02/06/finnish-psychotherapy-extortion-suspect-arrested-in-france/
- 000
- 1
- 2022
- a
- Chi siamo
- Assoluta
- accesso
- accessibile
- attività
- aggiuntivo
- Informazioni aggiuntive
- Adobe
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Tutti
- presumibilmente
- da solo
- già
- ed
- ha annunciato
- chiunque
- apparso
- opportuno
- approvato
- Archivio
- arrestare
- arrestato
- articolo
- attacchi
- tentato
- attenzione
- autore
- Autorità
- auto
- background-image
- Vasca
- bandiera
- Inizio
- essendo
- Ricatto
- sistema
- Parte inferiore
- violazione
- Brian
- Brian Krebs
- Carte
- trasportare
- Custodie
- catturati
- centro
- centro
- ceo
- carico
- cittadino
- codice
- raccogliere
- colore
- azienda
- Società
- comprendere
- computer
- fiducia
- Conseguenze
- contatti
- testuali
- Conversazioni
- convincere
- potuto
- Corte
- coprire
- credito
- Carte di credito
- Azione Penale
- Attualmente
- cybercrime
- CIBERCRIMINALE
- Cybersecurity
- dati
- protezione dati
- deciso
- Decidere
- Predefinito
- Richiesta
- richieste
- dettagli
- Determinare
- direttamente
- Rivelazione
- Dsiplay
- Dont
- ogni
- applicazione
- abbastanza
- sviluppate
- europeo
- Anche
- qualunque cosa
- prova
- previsto
- estorsione
- estradizione
- FAIL
- famiglie
- Limatura
- ricerca
- sottile
- Finlandia
- seguito
- i seguenti
- essere trovato
- Francia
- Gratis
- da
- futuro
- ottenere
- dato
- Dare
- buono
- Gruppo
- degli hacker
- hacker
- pirateria informatica
- successo
- Hard
- avendo
- altezza
- Aiuto
- aiuta
- superiore
- Colpire
- ORE
- librarsi
- HTML
- HTTPS
- ID
- Identificazione
- Identità
- in
- Compreso
- informazioni
- informazioni di sicurezza
- inizialmente
- Internet
- INTERPOL
- Rilasciato
- IT
- stessa
- saltato
- mantenere
- conservazione
- Cognome
- L'anno scorso
- In ritardo
- Legge
- applicazione della legge
- IMPARARE
- Livello
- Lista
- annuncio
- piccolo
- bloccato
- Lunghi
- fatto
- Margine
- max-width
- menzionato
- messaggio
- soldi
- Scopri di più
- maggior parte
- Sicurezza nuda
- il
- normale
- Note
- famigerato
- numero
- obblighi
- ottobre
- Vecchio
- ONE
- Altro
- pagato
- Passi
- Password
- pazienti
- Paga le
- Persone
- Forse
- cronologia
- Personalmente
- Platone
- Platone Data Intelligence
- PlatoneDati
- Polizia
- posizione
- Post
- Preparare
- preparazione
- carcere
- Privacy
- Elaborato
- protezione
- Pubblicazione
- pubblicamente
- pubblicato
- di rose
- ragione
- Regolatori
- rapporto
- rilasciare
- rapporto
- Reportistica
- richiesta
- risposta
- responsabile
- Suddetto
- dice
- sicuro
- problemi di
- condanna
- sessioni
- da
- situazione
- piccole
- So
- solido
- Fonte
- codice sorgente
- standard
- Ancora
- stola
- rubare
- tale
- suggerisce
- sospeso
- SVG
- sistema
- Il
- furto
- loro
- pensiero
- migliaia
- tempo
- volte
- a
- top
- Totale
- transizione
- trasparente
- Turned
- per
- unico
- URL
- uso
- Vittima
- Violare
- visibile
- Vulnerabile
- ricercato
- Mandato
- noto
- Che
- quale
- while
- OMS
- volere
- entro
- parole
- sarebbe
- scrittore
- anno
- anni
- Tu
- Trasferimento da aeroporto a Sharm
- te stesso
- zefiro
