AfterDawn logo

Uusi tietomurtosarja: Suomalaismiehellä oli pääsy yli 60 000 palvelimeen

Manu Pitkänen Manu Pitkänen
15 kommenttia

Helsingin poliisi tutkii uutta tietomurtosarjaa, jossa nuorella suomalaisella mieshenkilöllä on ollut pääsy yhteensä yli 60 000 murrettuun internet-palvelimeen ympäri maailmaa. Tapaus ei liity syyskuussa tiedotettuun tietomurtosarjaan.

Poliisin mukaan epäilty suomalaismies on toiminut kansainvälisessä hakkeriryhmässä, jolla on mahdollisesti ollut murrettujen palvelimien kautta pääsy miljoonien luottokorttitietoihin. Poliisi on luovuttanut tiedot murretuista palvelimista Cert-fille. Netsin (entinen Luottokunta) kanssa poliisi selvittää asiaa suomalaisten luottokorttien osalta.

Suomalaismies on vangittu ja häntä epäillään törkeästä tietomurrosta, törkeästä maksuvälinepetoksesta sekä tietoliikenteen häirinnästä. Miehen kotikoneelta on löydetty yli 3 000 ulkomaalaisen luottokortin tiedot. Hän on myöntänyt käyttäneensä hallussaan olleita ulkomaisia luottokorttitietoja.

15 KOMMENTTIA

JoniS1/15

Lainaus:

Helsingin poliisi tukii uutta tietomurtosarjaa

typo.

G0lden_Kebab2/15

Ja palvelimet senkun murtuu kuin leipäkeksi.

R4ndom13/15

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:

Ja palvelimet senkun murtuu kuin leipäkeksi.

Niin murtuu kun ei ole tietoturva kunnossa.

Lumikki4/15

Vaikka on oikein että tuollaista hakkeria rangaistaan.

Niin miksi ei sakoteta niitä yrityksiä jotka ylläpitää palvelimia joiden tietoturva on aivan perseellään. Mikä kumma se on että yritystoiminta saa anteeksi sen että ihmisten yksityiset asiat vaarantuvat vain siksi että kaikenmaailman amatöörit tekee liiketaloutta palveluilla. Usein syynä on ihan taloudelliset säästöt tai/ja palvelinten ylläpitäjien osaamattomuus.

Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.

qwerty835/15

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.


Kyllä.

On se tosiaan ihme, että rahan perässä olevat nettiyrittäjät saa tehdä melkein mitä vaan. Miksi heitä ei koske säännölliset auditoinnit?

RingLeaderTM6/15

Lainaus, alkuperäisen viestin kirjoitti Lumikki:


Niin miksi ei sakoteta niitä yrityksiä jotka ylläpitää palvelimia joiden tietoturva on aivan perseellään. Mikä kumma se on että yritystoiminta saa anteeksi sen että ihmisten yksityiset asiat vaarantuvat vain siksi että kaikenmaailman amatöörit tekee liiketaloutta palveluilla.

Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.

Asiakonteksti, mutta varmastihan se on salasanan sekä pääsyoikeuksien ongelmasta lähtöisin, että palvelut ovat heikkoja, "pääsy pitää rajata selkeämmin". [(Read-only) (ROM)]
Mutta miten taas siirrytään valmiustilasta aktiiviseen puolustukseen ja millä osin yhtiön yksityisyyden tietosuojalauseke toteutuu ?

rick797/15

Lainaus, alkuperäisen viestin kirjoitti Lumikki:

Vaikka on oikein että tuollaista hakkeria rangaistaan.

Niin miksi ei sakoteta niitä yrityksiä jotka ylläpitää palvelimia joiden tietoturva on aivan perseellään. Mikä kumma se on että yritystoiminta saa anteeksi sen että ihmisten yksityiset asiat vaarantuvat vain siksi että kaikenmaailman amatöörit tekee liiketaloutta palveluilla. Usein syynä on ihan taloudelliset säästöt tai/ja palvelinten ylläpitäjien osaamattomuus.

Itse asiassa poliisi/viranomainen voisi tehdä tietoturvatarkistusiskuja tälläisia palvelimia pitäviin yrityksiin Suomessa. Sekä vaatia toimenpiteitä asian korjaamiseen, jos ongelmia ilmenee. Tehdäänhän moniin muihinkin aloihin tarkistuksia että määräyksiä noudatetaan.

No just joo.. "Hei eipäs nyt tutkita murhia kun pitää mennä Kemiralle kattoo että niitten Avasti on päivitetty ja rekisteröity"... Siis ihan tosissaan.. Eiköhän tuollaset asiat ratkota sitten oikeudessa, ja luuletko tosiaan että jos selviää että tietoturva-asiat on ollu vatuillaan niin sen loppulaskun maksaa kukaan muu kuin yritys itse. Ei esim. Vakuutusyhtiö korvaa firman puolesta mitään jos asiat ei ole kunnossa. Vrt. Lukitsematon kauppa ryöstetään, ei vakuutus korvaa siinä tilanteessa. Tai jos korvaa niin vakuutusmaksut nousee tähtitieteelliseksi.

Kuten on miljoonaan kertaan todettu niin ainoa tapa pitää tiedot taatusti tallessa on pitää ne koneella/paikassa joka ei ole yhteydessä nettiin. Mikään virussuoja/palomuuri/salasana/ym... Ei ole täysin vedenpitävä.

Vanha viisaus sanoo: idioottivarmojen asioiden keksijät harvoin ottavat huomioon idioottien kekseliäisyyttä.

Lumikki8/15

Lainaus:

Eiköhän tuollaset asiat ratkota sitten oikeudessa, ja luuletko tosiaan että jos selviää että tietoturva-asiat on ollu vatuillaan niin sen loppulaskun maksaa kukaan muu kuin yritys itse.


Ensinnäkin yritys ei joudu mihinkään vastuuseen asioista nykyään, vaikka olisi kuinka perseestä tietoturva asiat.

Olet oikeassa että yritys tuossa joutuu maksamaan oman tietoturvakorjauksen siis siinä tapauksessa että se tekee jotain asialle tai vähintään tapahtuu maineen menetys tuollaisesta töppäyksestä. Mutta sen mitä sinä unohdit on että ne asiakkaat joiden tiedot varastettiin, niin niistä yritys ei joudu vastuuseen. Sehän tuosssa onkin se ongelma.

Miksi jos pankista varastetaan asiakkaan rahoja niin pankki on vastuussa asiasta. Mutta jos mistä tahansa yrityksestä varastetaan asiakkaan henkilötietoja niin kukaan ole vastuussa. Miksi ihmiset katsoo että se raha on ainoa tärkeä asia.

Korvaako vakuutus yrityksen asiakkaille sen että kun yritysestä varastetaan asiakkaiden henkilötietoja? Ei korvaa mitenkään, eikä yrityksellä ole asian suhteen mitään korvausvelvollisuutta asiakkaalle.

Yrityksen joka arkistoi nettiin asiakastietoja eli henkilörekisteriä, pitäisi joutua vastuuseen jos se on laiminlyönnyt selvästi tarvittavan tietoturvan asialle. Miten me ihmiset voidaan luottaa yrityksien henkilötietotietoturvaan esimerkiksi nettikaupoissa jos niillä yrityksillä ei ole mitään vastuuta eli seurauksia asiasta jos sitä ei hoideta oikein?

Lakiin voidaan kirjoittaa vastuu vaikka henkilörekisteristä, mutta jos kukaan ei valvo että asiaa noudatetaan niin se laki on ihan turha.

rick799/15

No ei se nyt ihan noin mee... Jos joku pöllii minun luottokortin numeron ja ostaa sillä kamaa netistä niin joku taho korvaa sen rahan menetyksen mulle. En todellakaan joudu maksumieheksi. Aivan sama kun jos tyhmyyksissäni annan s.postikyselyssä avainlukuni ja tunnukseni kolmanelle osapuolelle joka sitten tyhjentää tilini niin pankki korvaa sen menetetyn rahan mulle.

Ja tuo vertaus että joku pöllii pankista asiakkaiden rahoja on kyllä kohtuu urpo. Pankkihan ei säilytä erikseen kenenkään rahoja, vai meinaatko että holvissa on muutama säkki 500€ seteleitä joissa lukee Nalle Wahlroos :D

Lumikki10/15

Lainaus:

No ei se nyt ihan noin mee... Jos joku pöllii minun luottokortin numeron ja ostaa sillä kamaa netistä niin joku taho korvaa sen rahan menetyksen mulle. En todellakaan joudu maksumieheksi. Aivan sama kun jos tyhmyyksissäni annan s.postikyselyssä avainlukuni ja tunnukseni kolmanelle osapuolelle joka sitten tyhjentää tilini niin pankki korvaa sen menetetyn rahan mulle.


Ei todellakaan korvaa silloin kun se on sinun huolimattomuutta. Tuo on virheelinen ennakkokäsitys, mutta se riippuu hieman tilantteesta eli mitä on tapahtunut. Pankki vastaa asioista vasta sen jälkeen kun olet imoittanut asiasta pankille. Jolloin pankki voi estää asian tapahtumisen. Pankki korvaa vain sellaiset asiat jotka tapahtuu sen omista puutteista tai virheistä. Esimerkiksi joku murtaa pankin tilejä ja varastaa rahoja muilta. Se ei saa kuitenkaan tapahtua asiakkaan omasta huolimattomuudesta. Jos pankki korvaa asiakkaan huolimattomuudesta aiheutuneen menetyksen niin se tapahtuu ihan pankin hyväntahtoisuuden nojalla, niillä ei ole mitään velvollisuutta asiaan.

En tarkoittanut fyysistä rahaa sillä pankki asialla. Minun moka, sanoin asian huonosti. Vaan tuota mitä tuossa yllä mainitsin.

Mutta tässä mennään jo ohi asian, joka on että yritykset eivät vastaa asiakkaan henkilötietojen menetyksestä asiakkaalle mitenkään. Yleensä vain pahoittelevat asiaa ja kuittaavat sen sillä.

1pertti11/15

Lainaus, alkuperäisen viestin kirjoitti rick79:

Aivan sama kun jos tyhmyyksissäni annan s.postikyselyssä avainlukuni ja tunnukseni kolmanelle osapuolelle joka sitten tyhjentää tilini niin pankki korvaa sen menetetyn rahan mulle.

Tuo on pelkästään pankin hyväntahtoisuutta, jos noin tapahtuu. Luulisin, että asiasta on jo tiedotettu niin paljon, että pankit eivät enää tuollaisia hölmöilyjä korvaa. Ainakaan mitään korvausvelvollisuutta ei tuollaisessa tapauksesa ole.

On aivan eri asia, jos korttitiedot varastetaan sellaiselta osapuolelta, jolle olet ne maksua varten antanut.

pähkinä12/15

Lainaus, alkuperäisen viestin kirjoitti Lumikki:


Yrityksen joka arkistoi nettiin asiakastietoja eli henkilörekisteriä, pitäisi joutua vastuuseen jos se on laiminlyönnyt selvästi tarvittavan tietoturvan asialle. Miten me ihmiset voidaan luottaa yrityksien henkilötietotietoturvaan esimerkiksi nettikaupoissa jos niillä yrityksillä ei ole mitään vastuuta eli seurauksia asiasta jos sitä ei hoideta oikein?


Sitten voidaankin kysyä, että mikä on riittävän "oikein"? Kaikki kuitenkin on murrettavissa, joten siltä kantilta asia ei ole ihan yksinkertainen. Toisekseen me voidaan tässä ja nyt päättää mikä on riittävä suojauksen taso ja tehdään siitä alan standardi tai vähimmäistaso. Tästä menee kaksi kuukautta ja joku on jo väsännyt koodinpätkän, millä jokainen googlaamiseen kykenevä ES-Jonne pystyy tämän suojauksen murtamaan.

Kyllä minäkin pystyn halutessani murtautumaan (kuten about kaikki edes jollain tasolla ajattelemaan kykenevät ja jopa kykenemättömätkin) tuohon lähisiwaan, todennäköisesti vielä jäämättä kiinni. Pitäisikö kaupan pitäjää rangaista siitä, että se mahdollistaa minun murtautumiseni?
Entäpä jos mukiloin sinut kadulla ja pöllin samalla puhelimen, joka sinulla oli kaveriltasi lainassa? Pitäisikö sinut laittaa vastuuseen, koska et osannut jujutsua, eikä taskussasi ollut ysimillistä tapahtumahetkellä? Olit kuitenkin puutteellisesti suojautunut rikollisia vastaan.
Tai ehkäpä tulen piuhoja pitkin sinun kotikoneellesi ja nappaan kovolta sinun ja tyttöystäväsi kotipornot. Oletko silloin syyllistynyt puutteelliseen suojaukseen?

En vain kykene ymmärtämään, että miksi nämä yritykset pitää ristiinnaulita, vaikka rikoksen suorittaa joku ihan muu? Ei ne tiedot kuitenkaan minään excel-tiedostona löydy niiden etusivulta, tyyliin "ota tästä", vaan pitää vähän nähdä vaivaakin. Se, että joku rikos on helppo tehdä, ei mielestäni oikeuta syyllistämään rikoksen uhria millään tasolla. Tavallisella ihmisellä on päivittäin useita mahdollisuuksia suorittaa jos minkämoista rikosta, mutta ei kuitenkaan suorita, miksi? Koska se on laitonta (ja moraalisesti väärin), ei siksi, etteikö se olisi mahdollista.

Lumikki13/15

Lainaus:

En vain kykene ymmärtämään, että miksi nämä yritykset pitää ristiinnaulita, vaikka rikoksen suorittaa joku ihan muu?


Koska myös sillä jolta varastetaan on velvollisuus suojata asiat edes kohtalaisella suojauksella. Mitä siitä tulisi jos pankit pitäisi rahojaan vaatekaapissa, pankin tilat olisi ilman hälytysjärjestelmiä.

Se mitä pyydetään on että ei ajeta palvelimilla 2-vuotta vanhoja softia joissa on tunnettuja tietoturva aukkoja. Sekä ollaan niin typeriä että tallennetaan salasanat täysin salaamattomasti. Näin tapahtuu aivan liian usein näissä tapauksissa. Siis en puhu siitä että ne olisi murtovarmoja, koska sellaista ei ole olemassakaan. Minä puhun selvistä tietoturva laiminlyönneistä, joita tapahtuu aivan liian usein. Syynä tähän on se että se liiketalous ajaa usein sen tietoturvan yli ja se todellinen kärsijä on se kuluttaja jonka tiedot varastettiin.

On naurettavaa syyllistää vain se murtautuja jos se jonka asia murrettiin ei ole edes alkeellisesti suojannut itseään. Luulisi tietoturva asiantuntijoiden pystyvän helposti määrittämään lakiin mikä on se riittävä tietoturva suojaus näissä asioissa.

Mitä tulee tuohon että kansalainen ryöstetään kadulla. Niin jos lähdet tietoisesti slummiin kujille yöaikaan niin turha sitä on sanoa että ei se ole henkilön vika jos joutui ryöstön kohteeksi. Siitä tässä on kyse, eli tahallisesti tai typeryyttään tai välinpitämättömyyttään altistaa itsensä rikoksille. Pitää huolehtia itse siitä perusturvasta, eikä huutaa suu auki että ei se ole mun vika.

SaveHackers (vahvistamaton)14/15

Jos et huomaa että kortillasi joku ostaa netissä, niin maksaja on kortin omistaja, jos huomaat niin pankki siirtää ongelman myyjälle, ja kortinhaltija saa rahansa. Pankki ei koskaan kärsi se on vain välittäjä, pää kärsijä on aina myyjä eli kauppias.

60.000 serveriä murrettu, kyse ei ole ylläpitäjien ongelmasta pitää servereitä ajatasalla vaan servereiden softassa olevasta aukosta joka ei ole softantekijän tiedossa tai softan tekijä ei välitä.

60.000 serveriä, pääosin jenkeissä, kaikki serverit Adoben CF softalla toimivia. Näiden tietokannat on voitu jo kopioida venäjälle, kiinaan etc, miljoonien ellei 100 miljoonien jenkkien sähköpostit, salasanat, luottokorttitiedot yms tiedot ovat vaarantuneet.

Minne servereiden omistajat kohdistaa vihansa, luutavammin viha kohdistetaan softan valmistajaan.

KalikoJak15/15

En sen kummemmin mistään mitään tiedä, mutta olen samaa mieltä, että jos pidät yllä henkilörekisteriä, niin tietoturva pitää olla ainakin kohtalaisella tasolla.

Jos rekisteri on tarpeeksi iso, tulisi viranomaistarkistuksia tehdä vaikka puolen vuoden välein.

Ja korvauksia tietonsa menettäneille tai sakkoa, mikäli tiedot on murrettu JA tietoturva on ollut puutteellinen.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki