AfterDawn logo

IL: Tekesiltä vuoti tuhansien yritysten hanketietoja

Manu Pitkänen Manu Pitkänen
9 kommenttia

Iltalehden mukaan kolme helsinkiläisen it-yhtiön työntekijää ovat löytäneet innovaatiorahoituskeskus Tekesin järjestelmistä tietoturva-aukon, jonka avulla he pystyivät lataamaan tuhansien yritysten lähettämiä rahoitushakemuksia.

Tukihakemuksista ilmenee yleensä rahoitettavan projektin kuvaus ja muita hanketietoja. Tietoturva-aukon kautta ei kuitenkaan pystytty lataamaan hakemusten liitetiedostoja, joista ilmenisi hankkeiden yksityiskohtaisempia tietoja.

Poliisi pidätti järjestelmään viikko sitten tapahtuneen tietomurron johdosta kaksi epäiltyä, jotka ovat molemmat kuitenkin jo vapautettu. Etsintäkuulutettuna oleva kolmas epäilty on Ylen mukaan ollut jo yhteydessä poliisiin. Epäilyt havaitsivat hakemuspalvelun "printtauskomentoon" liittyvän tietoturva-aukon lähettäessään omaa hakemusta Tekesille. Aukon havaitsemisen jälkeen he kokeilivat sen toimivuutta.


Viestintävirasto muistutti tänään julkaistussa ilmoituksessa, että tietoturva-aukkojen etsiminen ei ole laitonta, mutta niistä tulee ilmoittaa asianmukaisella tavalla, eikä löydettyjä haavoittuvuuksia saa hyödyntää.

9 KOMMENTTIA

Lumikki1/9

Koko asia on ihan ristiriitainen. Joko epäillyt kokeilivat tietoturvareikää tai sitten he varasti tuhansien tietoja. Kumpi tapahtui? Koska tuhansien tietojen varastaminen ei ole enää kokeilua.

G0lden_Kebab2/9

Pojilla ollut hauskaa "IT firmassa" kun latasivat ko.tiedot koneilleen. kysymys kuuluu että miksi näin? ja sitten vielä ilmoittaa asiasta tekesille "Hei löysimme aukon ja varmuudeksi vielä testasimme sen toimivuutta lataamalla kaiken mitä sen kautta irtosi". Järkeenkäypää toimintaa....

Michelola3/9

kyllähän Tekes tässä se rikollinen on, aivan naurettavaa toimintaa heiltä.

G0lden_Kebab4/9

Lainaus, alkuperäisen viestin kirjoitti Michelola:

kyllähän Tekes tässä se rikollinen on, aivan naurettavaa toimintaa heiltä.

Vähän samaa mieltä...En ainakaan heti lähtisi "IT firman" poikia tästä nyt tuomitsemaankaan vaikka latasivat tiedostot. Kuitenkin ns. hyvässä uskossa/tarkoituksessa tehty juttu. Tai näin voi olettaa kun ilmoittivat heti Tekesille...

Onhan näitä aukkoja aina ja kaikkialla, tietty jos joku muu ei ns "yhtä ystävällinen" taho olisi löytänyt aukon ja immannut kaiken ja hyödyntänyt ne vielä. Saatikka olisi ikinä aukosta kertonut. Parempi näin.

Mutta siitä tuhansien tietojen laatamisesta kokeilu mielessä en ota kantaa.

pentsu5/9

Lainaus, alkuperäisen viestin kirjoitti Michelola:

kyllähän Tekes tässä se rikollinen on, aivan naurettavaa toimintaa heiltä.

Onko kuitenkaan? Tavallaan tuon voisi rinnastaa siihen että murtaudun naapuriin, ja ilmoitan sitten jälkeenpäin testanneeni "kuinka lukot pitää". Voi olla ettei ainakaan kiittelisi.

qwerty836/9

Lainaus, alkuperäisen viestin kirjoitti pentsu:

Lainaus, alkuperäisen viestin kirjoitti Michelola:

kyllähän Tekes tässä se rikollinen on, aivan naurettavaa toimintaa heiltä.

Onko kuitenkaan? Tavallaan tuon voisi rinnastaa siihen että murtaudun naapuriin, ja ilmoitan sitten jälkeenpäin testanneeni "kuinka lukot pitää". Voi olla ettei ainakaan kiittelisi.

Kyseenalainen väite tuokin, koska medioiden mukaan kyseessä on ollut jokin todella räikeä ongelma. Asiaa ei todellakaan paranna se, että tuo koskee potentiaalisesti todella isoja rahasummia mutkan kautta.

Tuota voisi toisaalta luonnehtia melkein siksi, että vuokraat kymmenille henkilöille varastotilaa, jätät sen oven auki ja syytät käyneitä varkaita, vaikka vika kohdistuu itseesi.

Btw. pistää "hiukan" epäilyttämään Tekesin antamat lausunnot, että tietoa ei ole päässyt karkuun. Sanoisin että nyky netissä taitaa olla melkoinen ihme jos palvelimella on tehty karkeita mokia ja joku ei olisi niitä löytänyt ja hyödyntänyt. Ainakin kaikki foorumit tuntuu olevan pullollaan viestejä omien pikkupalvelimien värkkääjistä, jotka taistelee jatkuvien ulkopuolelta tulevien nuuskijoiden toimia vastaan.

Lumikki7/9

Lainaus:

Tuota voisi toisaalta luonnehtia melkein siksi, että vuokraat kymmenille henkilöille varastotilaa, jätät sen oven auki ja syytät käyneitä varkaita, vaikka vika kohdistuu itseesi.


Tuo asia tuntuu olevan usein vaikea muiden ihmisten ymmärtää tietotekniikan asioissa eli kuinka itse voi olla syyllinen johonkin vaikka se rikollinen/varas sen asian teki. Ongelma on että yhteiskunta ei oikein tahdo tunnustaa että vakavista tietoturva laiminlyönnistä pitäisi myös sen yrityksen kantaa vastuunsa eli olla taloudellisesti rangaistavissa. Kyse on siis omasta huolimattomuudesta/välinpitämättämyydestä/tietämättömyydestä aiheutettu muiden ihmisten/yritysten yksityisten asioiden vaarantaminen.

ji638/9

Taloudellisesti tämä ei ole Tekesin suurin moka, koska rahaa on syydetty kritiikkittömästi kaiken maailman hankkeisiin tähänkin astikin miljardeittain.

Moraalisesti tällä virheliikkeellä on kaikkien suomalaisten turvallisuuttta heikentävä vaikutus.

Jos tietoturva-aukoista varoittaminen on jatkossakin rikollista, niin ryhtykäämme valmistelemaan tietoyhteiskunnan, sen jota emme koskaan saavuttaneet, hautajaisia.

Ketään ei ole vielä syytetty, eikä tuomittu, mutta Tekesin asenne kuvastaa sitä, että kaikki "epävirallisesti" saatavissa oleva tieto ei kestä "päivänvaloa". Olisihan se helvetin kiusallista, jos rahoituspäätösten taustalta paljastuisi poliittisia kytköksiä.

Ketä rikosilmoituksella suojellaan? Nyt voidaan vain spekuloida ja kaikki häviää.

user@org (vahvistamaton)9/9

Lainaus, alkuperäisen viestin kirjoitti ji63:


Jos tietoturva-aukoista varoittaminen on jatkossakin rikollista,


Ei tuollaista tiettävästi ole suunnitelmissa ?

Lainaus, alkuperäisen viestin kirjoitti ji63:


Ketä rikosilmoituksella suojellaan? Nyt voidaan vain spekuloida ja kaikki häviää.

Tekesin asiakkaiden kannalta tärkeää että hommatutkitaan

Uutisointi vähän epäselvää, mutta ilmeisesti Tekesiltä on "tietokanta" luvattu ladattu. Joidenkin mukaan jopa huippusalaista tietoa (ilmeisesti ei). Uutisten mukaan jokin tietokanta on löytynyt ulkopuolisen halusta. Ilman polisiia olisi Tekesin vaikea toimia, esim tutkia mainittuja koneita.

Usein valitellaan että tietomurtoja painetaan villaisella, eikä esim tehdä rikosilmoituksia.

Ajatus että jos tunnustat rikoksen, niin saisit syyte, tai jopa "tutkinta" suojan automaattisesti ei ehkä ole ihan toimiva idea tuollaisenaan.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki