Misstänkt för finsk psykoterapiutpressning greps i Frankrike

Återutgiven av Platon

anhängare: 0

I oktober 2022 bad vi dig att göra det tänk att vara fast i följande hemska situation:

Föreställ dig att du hade talat i vad du trodde var totalt förtroende för en psykoterapeut, men innehållet i dina sessioner hade sparats för eftervärlden, tillsammans med exakta personliga identifieringsdetaljer som ditt unika nationella ID-nummer och kanske inklusive ytterligare information som t.ex. anteckningar om din relation till din familj...

…och sedan, som om det inte vore illa nog, föreställ dig att orden du aldrig hade förväntat dig skulle skrivas in och sparas överhuvudtaget, än mindre på obestämd tid, hade gjorts tillgängliga över internet, påstås "skyddade" med lite mer än ett standardlösenord som ger alla tillgång till allt.

Tråkigt nog för tiotusentals förtroendefulla patienter av nu konkurs Psykoterapicentrum Vastaamo, det hände verkligen.

.s-button+.s-button { margin-left: .3125rem; } .s-knapp { övergång: alla .15s linjära; teckenstorlek: .875rem; linjehöjd: 1.5; färg: #f2f2f2; teckensnittsfamilj: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; display: inline-block; stoppning: .3125rem 1.25rem; markör: pekare; text-align: center; text-dekoration: ingen; kantlinje: 1px fast #005bc8; border-radie: 3px; bakgrundsfärg: #005bc8; text-shadow: ingen; } .s-button:hover { text-dekoration: ingen; färg: #fff; kantfärg: #002d62; bakgrundsfärg: #002d62; } .s-button–white, .s-button–white:hover { färg: #005bc8 !viktigt; kantfärg: #fff; bakgrundsfärg: #fff; } .s-ad-sophos-mdr { font-size: 1rem; linjehöjd: 1.5; färg: #242629; teckensnittsfamilj: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; position: relativ; max-bredd: 769px; marginal: 15px auto; stoppning: 30px 30px 25px; övergång: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); text-align: center; bakgrundsfärg: #0d141d; bakgrundsupprepning: ingen upprepning; bakgrundsposition: 50%; bakgrundsstorlek: omslag; box-skugga: 0 0 0 0 0 transparent; bakgrundsfärg: #005bc8; bakgrundsbild: ingen; bakgrundsposition: 0 0; } .s-ad-sophos-mdr__title { font-size: 2rem; linjehöjd: 1.125; margin-bottom: 4px; färg: #fff; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; teckenstorlek: 17px; färg: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { färg: #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position: absolut; topp: 15px; höger: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; bredd: 64px; höjd: 11px; vertikal-align: topp; bakgrundsupprepning: ingen upprepning; bakgrundsstorlek: 64px 11px; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; teckensnittsvikt: 400; teckensnittsstil: normal; teckenstorlek: 28px; teckensnittsvikt: 700; linjehöjd: 1; margin-bottom: 10px; text-align: vänster; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; linjehöjd: 1.25; text-align: vänster; } .s-ad-sophos-mdr__action { text-align: höger; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-bredd:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absolut; höger: 30px; botten: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Det blir värre

Ännu värre, en cyberbrottsling hittade in i det dåligt säkrade systemet och stal all denna ultrapersonliga data.

Ännu värre, företaget som ansvarade för att hålla den datan säker bestämde sig för att hålla tyst om intrånget, med företagets vd som tydligen beslutade att han kunde komma undan med att dölja intrånget för myndigheterna så länge det inte kom någon offentligt synlig skada av det.

Men intrånget kunde inte förnekas längre när företaget drabbades av ett utpressningskrav på 450,000 0.5 € (cirka XNUMX miljoner dollar vid den tiden).

I slutändan, som rapporterade i Helsinki Times i slutet av 2022 i en artikel med titeln Åklagare: Vastaamos informationssäkerhet var i absolut kaos, åtalades den nu före detta vd:n personligen för dataskyddsbrott, trots att företaget självt utsatts för ett it-brott.

Det värsta av allt var att när företaget självt vägrade att betala utpressningspengarna (vilket, som vi påpekade förra året, inte skulle ha gjort så mycket nytta med tanke på att uppgifterna redan hade stulits), riktade utpressaren sin uppmärksamhet direkt mot företagets patienter.

Patienter utpressades till ett belopp av 200 euro vardera, med cybersäkerhetsjournalisten Brian Krebs rapportera 2022 att kravet hoppade till 500 € om den initiala "avgiften" inte betalades inom 24 timmar, följt av publicering av personliga uppgifter 48 timmar efter det.

Hackaren hotade att släppa inte bara den typ av information som skulle hjälpa andra skurkar att utföra identitetsstöld, inklusive kontaktuppgifter och ID-data, utan också de sparade utskrifterna av patienternas konversationer som vi nämnde överst i den här artikeln.

de finska myndigheterna utfärdad en arresteringsorder för den misstänkte hackaren i oktober 2022, och noterade att:

Polisen har konstaterat att den misstänkte för närvarande är bosatt utomlands. Av denna anledning häktades han i sin frånvaro. En europeisk arresteringsorder har utfärdats mot den misstänkte. Han kan gripas utomlands enligt denna arresteringsorder. Därefter kommer polisen att begära att han överlämnas till Finland. Ett Interpolmeddelande kommer också att utfärdas mot den misstänkte, som är finsk medborgare och cirka 25 år gammal.

Han dök upp Europols mest eftersökta flyktingar lista på 2022-11-03, åtalad för åtta brott: grovt datorinbrott, försök till grov utpressning, grovt spridning av information som kränker den personliga integriteten, utpressning, försök till utpressning, datorinbrott, meddelandeavlyssning och bevisförfalskning:

Misstänkt gripen

Jo, finländarna har precis meddelat att den misstänkte har varit det gripen i Frankrike, där han har suttit inlåst medan hans utlämning till Finland pågår.

Brian Krebs, som är känd för att gräva i historien om ökända hackare och misstänkta hackare, har publicerat en rapport som listar en rad tidigare cyberbrott som Kivimäki har dömts för, uppenbarligen inklusive överbelastningsattacker under flaggan av Lizard Squad, stöld av källkod från Adobe, användning av stulna kreditkort med mera.

Enligt Krebs dömdes den misstänkte för att ha "orkestrerat mer än 50,000 18 cyberbrott", men kom undan med villkorlig dom och en liten böter, efter att ha varit under XNUMX år vid tidpunkten för den kriminella aktiviteten.

Efter att han hade undgått ett fängelsestraff, säger Krebs, skröt hackergruppen Lizard Squad öppet på Twitter med att "Alla människor som sa att vi skulle ruttna i fängelse vill inte förstå vad vi har sagt sedan början, vi ha gratiskort."

Om hans utlämning från Frankrike godkänns i det här fallet, och han döms, kan vi inte föreställa oss att konsekvenserna blir så mycket av ett "frikort" den här gången, nu är han 25 år gammal.

Vad göra?

Repetera vad du kommer att göra om du själv drabbas av ett brott. Du förbereder dig inte på att misslyckas om du gör det, men du misslyckas med att förbereda dig om du inte gör det. Lär dig vilka dina rapporteringsskyldigheter är och öva på vad du skulle säga till dem som berörs av överträdelsen. Som det här fallet antyder skulle ett snabbt avslöjande åtminstone ha förhindrat att tiotusentals utsatta människor fick reda på intrånget från utpressningskrav som riktats direkt till dem och deras familjer.
Överväg att lämna in en personlig anmälan om du hamnar i ett brott. Detta hjälper tillsynsmyndigheter och brottsbekämpande myndigheter att samla in bevis; hjälper till att bestämma en lämplig nivå av svar (om ingen säger något är det svårt att övertyga en domstol om att verklig skada skett); och hjälper myndigheterna att kräva högre cybersäkerhetsstandarder i framtiden.