Finsk psykoterapi-utpressingsmistenkt arrestert i Frankrike

I oktober 2022 ba vi deg om det tenk å sitte fast i følgende forferdelige situasjon:

Tenk deg at du hadde snakket i det du trodde var fullstendig tillit til en psykoterapeut, men innholdet i øktene dine hadde blitt lagret for ettertiden, sammen med nøyaktige personlige identifikasjonsdetaljer som ditt unike nasjonale ID-nummer, og kanskje inkludert tilleggsinformasjon som f.eks. notater om forholdet ditt til familien din...

…og så, som om det ikke var ille nok, forestill deg at ordene du aldri hadde forventet å bli skrevet inn og lagret i det hele tatt, enn si på ubestemt tid, hadde blitt gjort tilgjengelig over internett, angivelig "beskyttet" av litt mer enn et standardpassord som gir alle tilgang til alt.

Dessverre, for titusenvis av tillitsfulle pasienter til de nå konkursrammede Psykoterapisenteret Vastaamo, det skjedde virkelig.

Det blir verre

Enda verre, en nettkriminell fant veien inn i det dårlig sikrede systemet og stjal alle de ultrapersonlige dataene.

Enda verre, selskapet som er ansvarlig for å holde disse dataene sikre, bestemte seg for å tie om inntrengingen, med selskapets administrerende direktør som tilsynelatende bestemte at han kunne slippe unna med å skjule bruddet for myndighetene så lenge det ikke kom noen offentlig synlig skade av det.

Men bruddet kunne ikke nektes lenger når selskapet ble rammet av et utpressingskrav på €450,000 0.5 (omtrent $XNUMX millioner på den tiden).

Til syvende og sist, som rapportert i Helsinki Times sent i 2022 i en artikkel med tittelen Aktor: Vastaamos informasjonssikkerhet var i absolutt kaos, ble den nå tidligere administrerende direktøren personlig siktet for databeskyttelseslovbrudd, selv om selskapet selv var offer for en nettkriminalitet.

Det verste av alt var at da selskapet selv nektet å betale utpressingspengene (som, som vi påpekte i fjor, ikke ville ha gjort mye nytte gitt at dataene allerede var stjålet), vendte utpresseren oppmerksomheten direkte mot selskapets pasienter.

Pasienter ble utpresset til en verdi av €200 hver, med cybersikkerhetsjournalisten Brian Krebs rapportering i 2022 at etterspørselen hoppet til €500 hvis den første "avgiften" ikke ble betalt innen 24 timer, etterfulgt av publisering av personopplysninger 48 timer etter det.

Hackeren truet med å frigi ikke bare den typen informasjon som ville hjelpe andre skurker med å utføre identitetstyveri, inkludert kontaktdetaljer og ID-data, men også de lagrede transkripsjonene av pasientsamtaler som vi nevnte øverst i denne artikkelen.

Finske myndigheter utstedt en arrestordre for den mistenkte hackeren i oktober 2022, og bemerker at:

Politiet har konstatert at den mistenkte for tiden oppholder seg i utlandet. Av denne grunn ble han varetektsfengslet in absentia. Det er utstedt en europeisk arrestordre mot den mistenkte. Han kan bli arrestert i utlandet under denne arrestordren. Etter det vil politiet be om overgivelse til Finland. Det vil også bli utstedt et Interpol-varsel mot den mistenkte, som er finsk statsborger og rundt 25 år gammel.

Han dukket opp Europols mest ettersøkte flyktninger listen på 2022-11-03, siktet for åtte lovbrudd: grovt datainnbrudd, forsøk på grov utpressing, grov spredning av informasjon som krenker personvernet, utpressing, forsøk på utpressing, datainnbrudd, meldingsavlytting og bevisforfalskning:

Mistenkt pågrepet

Vel, finnene har nettopp annonsert at den mistenkte har vært det pågrepet i Frankrike, hvor han har vært innesperret mens utleveringen hans til Finland behandles.

Brian Krebs, som er kjent for å grave i historiene til beryktede hackere og hackingmistenkte, har publisert en rapport som viser en rekke tidligere nettkriminalitet som Kivimäki er dømt for, tilsynelatende inkludert tjenestenektangrep under banneret til Lizard Squad, tyveri av kildekode fra Adobe, bruk av stjålne kredittkort og mer.

Ifølge Krebs ble den mistenkte dømt for å ha «orkestrert mer enn 50,000 18 nettkriminalitet», men slapp unna med en betinget dom og en liten bot, etter å ha vært under XNUMX år på tidspunktet for den kriminelle aktiviteten.

Etter at han hadde unndratt en fengselsstraff, sier Krebs, skrøt Lizard Squad-hackinggruppen åpenlyst på Twitter av «Alle som sa at vi ville råtne i fengsel, ønsker ikke å forstå hva vi har sagt siden begynnelsen, vi ha gratiskort."

Hvis utleveringen hans fra Frankrike blir godkjent i denne saken, og han blir dømt, kan vi ikke forestille oss at konsekvensene blir så mye av et "frikort" denne gangen, nå er han 25 år gammel.

Hva gjør jeg?

• Repeter hva du vil gjøre hvis du selv blir utsatt for et brudd. Du forbereder deg ikke på å mislykkes hvis du gjør det, men du klarer ikke å forberede deg hvis du ikke gjør det. Finn ut hvilke rapporteringsplikter du har, og praktiser hva du vil si til de som er berørt av bruddet. Som denne saken antyder, ville umiddelbar avsløring i det minste ha forhindret titusenvis av sårbare mennesker i å finne ut om bruddet fra krav om utpressing direkte til dem og deres familier.
• Vurder å sende inn en personlig rapport hvis du blir fanget i et brudd. Dette hjelper regulatorer og rettshåndhevelse med å samle bevis; bidrar til å bestemme et passende nivå av respons (hvis ingen sier noe, så er det vanskelig å overbevise en domstol om at det ble gjort reell skade); og hjelper myndighetene med å kreve høyere cybersikkerhetsstandarder i fremtiden.

---

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://nakedsecurity.sophos.com/2023/02/06/finnish-psychotherapy-extortion-suspect-arrested-in-france/