this post was submitted on 18 Oct 2023
20 points (100.0% liked)

Suomi

1934 readers
22 users here now

Suomalainen yhteisö suomalaisille ja kieltä hyvin osaaville.

The Finnish community for natives and proficient users of the language.

English-language discussions and news relating to Finland and the Finnish culture --> !finland@sopuli.xyz

Paikkakuntien yhteisöt / City communities:

Muita suomenkielisiä yhteisöjä / Other Finnish communities :

founded 3 years ago
MODERATORS
QuentinCallaghan@sopuli.xyz
tieluohan@sopuli.xyz
20
Näin poliisi sai näyttöä Aleksanteri Kivimäen osuudesta Vastaamon tietomurtoon – todistajana Kivimäen verkkoa käyttänyt kaveri (yle.fi)
submitted 1 year ago by IsoKiero@sopuli.xyz to c/suomi@sopuli.xyz
2 comments fedilink hide all child comments
 

Kun Kivimäelle selvisi, että Vastaamon tietokannassa oli tällaisia haavoittuvuuksia, hän syyttäjän mukaan loi yhteyden Vastaamon MySQL-palvelimeen käyttämällä hänelle kuulumatonta käyttäjätunnusta ja salasanaa. Tämän jälkeen hän latasi itselleen Vastaamon potilastietokannan.

Kivimäki on tietysti ihan suoraan kusipää kun ryhtyi kiristämään saamillaan tiedoilla, mutta jotenkin tuntuu että Vastaamon rooli tässä tietomurrossa on jätetty uutisoinnissa melko vähälle.

Ne, jotka eivät tiedä, MySQL on siis tietokantamoottori ja yleisesti ottaen yhtään mikään tietokantapalvelin missään ei ole tavoitettavissa suoraan julkisesta internetistä, vaan välissä on palomuureja ja muuta suojausta. Tämän lisäksi tuo "hänelle kuulumaton käyttäjätunnus ja salasana" on ollut luokkaa admin/admin, jolloin voisi ainakin semanttisesti väittää, että Kivimäki on käyttänyt ihan omaa salasanaansa, se nyt on vain sattunut kelpaamaan myös Vastaamon tietokantaan.

Koko touhu on tietysti henkilötasolla aiheuttanut monta melkoisen paskaa tilannetta, mutta näin IT-alan hommissa kovasti toivoisi että asian ympäriltä nostettaisiin pöydälle näkyvästi myös se fakta, että tuon tietokannan suojaus on samaa tasoa kuin kaupan takahuoneen lukitsematon ovi, jossa on tarra 'vain henkilökunnalle'.

top 2 comments
sorted by: hot top controversial new old
[–] Kryomaani@sopuli.xyz 9 points 1 year ago* (last edited 1 year ago)

Tämän lisäksi tuo “hänelle kuulumaton käyttäjätunnus ja salasana” on ollut luokkaa admin/admin, jolloin voisi ainakin semanttisesti väittää, että Kivimäki on käyttänyt ihan omaa salasanaansa, se nyt on vain sattunut kelpaamaan myös Vastaamon tietokantaan.

Tämähän se. "admin/admin" on salasana siinä missä tämä on kassakaappi. Kaikkein käsittämättömintä tässä jutussa on se, että Vastaamo on ihan käytännössä luovuttanut Kivimäelle vapaaehtoisesti kaiken sen potilastiedon, mutta silti Vastaamon toimarille annetaan kolme kuukautta ehdollista vaikka hän ja alaisensa ovat täysin kiistatta tapahtuneeseen pääsyyllisiä. Jos Kivimäki ei olisi tätä tehnyt, olisi kyllä löytynyt joku muu.

Jos lääkäri jättäisi kadunvarteen pahvilaatikon jonka kyljessä lukee "potilasasiakirjoja, älä pölli" ja joku veisi sen, olisi hän korviaan myöten kusessa, mutta kun Vastaamon pamppu tekee saman mutta verkossa, niin se on ihan täysin no problem. Valitettavasti lain edessä yritys on aina pyhä lehmä eikä leväperäisimmästäkään toiminnasta saa rankaista kun wää sitten menee verotulot ohi suun wää, laki on auttamattoman kivikaudella tietoverkkoasioissa eivätkä tuomioistuimet ymmärrä tietoturvan perusteista hölkäsen pöläystä.

[–] reksas@sopuli.xyz 3 points 1 year ago* (last edited 1 year ago)

Ainakin se hyvä puoli tuossa vastaamon tapauksessa on, että sitä voi käyttää esimerkkinä jota ei voi sivuttaa, kun pitää perustella tietokoneista mitään ymmärtämättömälle johdolle miksi tietoturvaan kannattaa kiinnittää edes jotain huomiota. Ikävä vain kun pitää aina tämmöisen kautta mennä eikä voida suoraan miettiä asioita järkevästi. Pitäisi alkaa olla joku velvollisuus ymmärtää edes perusteet tietotekniikasta jos haluaa olla missääm päättävässä asemassa, missä on tekemisissä tietotekniikan kanssa ollenkaan.