Éveken át mesélték a legféltettebb titkaikat a pszichológusuknak, aztán egy nap az egész felkerült az internetre

A finn Vastaamo egy kis, mentális egészséggel foglalkozó startupnak indult, majd a felhasználóbarát rendszerének köszönhetően az ország legnagyobb, pszichológiai szolgáltatásokat kínáló magánvállalatává nőtte ki magát. Aztán a hanyag adatvédelem miatt egyszer csak több tízezer felhasználó kapott zsaroló leveleket, bennük nemcsak az összes személyes adatukkal, hanem a terápiás üléseik leiratával is.

A Wired hosszú cikkben mesélte el a finn sajtóban „az ország legnagyobb bűnügyeként” emlegetett történetet.

Tudom, mit csináltál tizenhat évesen

Jere, egy 22 éves finn egyetemista 2020 októberében kapott zsaroló emailt. A feladó több száz euró értékű váltságdíjat követelt Bitcoinban, és azzal fenyegette a fiút, hogy ha nem kapja meg az összeget, a róla szerzett összes információt nyilvánosságra hozza.

Jere 16 éves korában kezdett el pszichológushoz járni a Vastaamón keresztül. Ebben az időben komoly problémái voltak: kimaradt az iskolából, vagdosni kezdte magát, és nagyon sok alkoholt fogyasztott. A pszichológusával rengeteg privát információt osztott meg. Beszélt bántalmazó szüleiről, a droghasználatáról és az öngyilkossági gondolatairól is.

A pszichológus pedig jegyzeteket készített minden ülésen, amiket aztán - Jere tudta nélkül - feltöltött a Vastaamo szerverére.

Nem Jere volt az egyetlen, aki zsaroló üzeneteket kapott. Nagyjából harmincezer ember legprivátabb információi kerültek ahhoz a hackerhez (vagy hackercsapathoz, nem tudni, ki áll a támadás mögött), aki megszerezte a Vastaamótól az adatokat. Ami szokatlan, hogy a támadó nem a cégtől követelt pénzt, hanem egyesével ment rá páciensekre.

A lélekgyógyászat McDonald’s-a

A történet azért is szólt ekkorát, mert ahogy egy finn újságíró a Wirednek leírta, a Vastaamo a „lélekgyógyászat McDonald’s-a” volt az országban. Finnország élen jár az egészségügy digitalizációjában, a Vastaamo pedig ugyan magánvállalatként működött, de tökéletesen illett ebbe a rendszerbe, ezért mindenki ezt használta. Néhány kattintással lehetett időpontot foglalni terápiára, és rövidek voltak a várakozási idők, szemben az állami ellátással, így a modell hamar sikeres lett. Annyira, hogy a kitalálója, Ville Tapio külföldön is szeretett volna házalni vele.

Tapio 2009-ben alapította meg a vállalatot. Az ötlet éppen onnan jött, hogy látta az állami ellátás hiányosságait, és egy olyan szolgáltatást képzelt el, amin keresztül anonim módon, online kaphatnának pszichológiai segítséget az emberek. Ezzel akarta csökkenteni a terápiára járás körüli stigmát, és mindenkinek elérhetővé tenni a lelki segítséget.

Tapio részben közalapítványi, részben a saját és a szülei pénzéből építette fel a Vastaamót, amit szociális vállalkozásként regisztrált be. Ez azt jelenti, hogy a profit jelentős részét visszaforgatják a vállalkozás céljainak megvalósításába.

Az hamar kiderült, hogy a pácienseknek lenne igényük a személyes terápiára is, így az első Vastaamo-klinika 2012-ben nyílt meg. Ezzel nagyjából egy időben indult el a vállalat saját fejlesztésű, elektronikus adatkezelő rendszere is. Tapio szerette volna a szolgáltatás körüli összes folyamatot és adatot digitalizálni - az időpontfoglalást, a számlákat és a terápiával kapcsolatos egészségügyi dokumentációt is.

Az elgondolás szerint a pszichológusok így rengeteg adminisztratív feladattól szabadulnak meg, és több idejük marad arra, hogy a munkájukat végezzék.

Saját rendszerre pedig azért volt szükség, mert a piacon elérhető megoldások közül egyik sem tetszett Tapiónak. Az eredmény egy felhasználóbarát felülettel rendelkező, adatvédelmileg viszont súlyos szakmai hibákkal tűzdelt rendszer lett.

A Onesys Medical nevű, egészségügyi technológiai fejlesztésekkel foglalkozó cég kutatás-fejlesztési igazgatója, Mikael Koivukangas a Wirednek azt nyilatkozta, hogy a Vastaamo a kiberbiztonság legelső szabályát szegte meg - nem anonimizálta, de még csak nem is titkosította az adatokat.

A kliensek összes személyes adatát, beleértve a terápiás ülések leiratait csak néhány tűzfal és a szerver bejelentkezési felülete védte meg a hackerektől.

A szabályozás és a kiskapu

Ha Tapiónak nem is, a finn államnak képesnek kellett volna lennie arra, hogy megvédje az állampolgárai egészségügyi adatait. 2014-ben a finn parlament új szabályozást vezetett be, ami szerint az egészségügyi szolgáltatóknak két kategória egyikébe kellett besorolniuk az adatkezelési rendszerüket.

A nagyvállalatoktól az A kategóriás besorolást várták el. Ezeket a rendszereket összekötötték a Kantával, ami a páciensek állami egészségügyhöz kötődő adatait kezeli. Azok a cégek, amelyek hosszú távon tárolják elektronikusan a pácienseik adatait, ebbe a besorolásba kerültek, és szigorú adatvédelmi elvárásoknak kellett megfelelniük.

Van egy B kategória is, amit azokra a kisebb vállalatokra terveztek, amik jórészt offline tárolják a betegadatokat, és kisebb eséllyel válhatnak hackertámadások áldozatává. ezekre sokkal lazább szabályok vonatkoznak. A vállalkozásnak be kellett nyújtania egy igazolást a kormányhoz arról, hogy a rendszere megfelel az elvárásoknak.

A Vastaamo Tapio állítása szerint szerette volna megszerezni az A kategóriás besorolást, de a finn állam nem adott ki arra vonatkozó részletszabályt, hogy a pszichoterápiás szolgáltatóknak hogyan kéne formázniuk az adatokat. Tapio a Wirednek azt mondta, hogy ha összekötötték volna a rendszerüket a Kantával, „semmilyen lehetőség nem lett volna például annak a megakadályozására, hogy bármelyik más orvos hozzáférhessen a terápiás dokumentumokhoz”. A Kanta cáfolta ezt az állítást, azt mondják, a páciensek korlátozhatják, hogy ki milyen adataikhoz férhet hozzá.

A Vastaamo végül sosem teljesítette az A kategória követelményeit, és a lazább adatvédelmi szabályokat elváró B kategóriás rendszerrel működött.

Támadás és kríziskezelés

Az első hackertámadásról Tapio saját bevallása szerint 2020 szeptemberében szerzett tudomást. A Vastaamonak ekkorra már több mint 20 klinikája volt, és több mint 200 pszichológust foglalkoztatott. Ő és két fejlesztő kapott zsarolólevelet, amiben 40 bitcoint, akkori árfolyamon nagyjából félmillió dollárt követeltek a vállalattól. Tapio rögtön jelentette a dolgot a rendőrségnek, és felbérelt egy biztonsági céget a vizsgálatra.

A támadó októberben egy anonim, nyilvános internetes fórumon jelentette be, hogy a Tapióval folytatott alkuk nem vezettek eredményre, ezért amíg nem kapják meg a pénzt, naponta 100 ember adatait fogják nyilvánosságra hozni.

Bár ekkor még nem támadta egyenként a klienseket, volt olyan érintett, aki a Vastaamótól követelt teljes összeget hajlandó lett volna kifizetni, és legalább harmincan fizettek is valamekkora összeget a hackernek. Hogy az érintettek adatait törölte-e, azt nem tudni, másnap viszont újabb 100 ember, köztük politikusok és ismert emberek terápiás feljegyzéseit töltötte fel az internetre.

Egy rövid időre a komplett adatbázist is megosztotta, ami pár óra múlva eltűnt. Hogy ez egy hiba volt-e, vagy a Vastaamo esetleg kifizette a követelt összeget, és ezért törölték a fájlt, azt nem tudni. A vállalat tagadja, hogy fizetett volna.

A támadó ezután váltott taktikát, és kezdte el egyenként zsarolni az érintetteket. A 30 000 emberből 25 000-ren tettek rendőrségi feljelentést, és volt, aki ki is fizette a követelt összeget. Jere ezen azért nem gondolkozott, mert semmilyen garanciát nem látott arra, hogy a hacker valóban törölné a róla szerzett adatokat, ha fizet.

A Vastaamo a botrány ellenére működött tovább, az érintetteknek egy ingyenes tanácsadást ajánlottak fel kárpótlásként, egy kliensnek pedig elmondása szerint azt ajánlotta a pszichológusa, hogy ne higgyen el mindent, amit a hírekben lát.

Nem ez volt az első

Tapiót az ügy kirobbanása után nem sokkal kirúgták vezérigazgatói pozíciójából. A vállalati érdekeltségeinek jó részét 2018-ban az Intera Partners nevű cég vásárolta meg, ami a hackertámadás után jogi eljárást kezdeményezett, és Tapio családi vagyonát a vásárlás értékében lefoglalták.

Az Intera a bírósági dokumentumokban azt állítja, hogy már 2018 végén és 2019 elején is történtek támadások a cég adatkezelő rendszere ellen, amiről Tapio nem csak tudhatott, hanem az Intera szerint szándékosan elhallgatta előlük. A második eset nem sokkal azelőtt történt, hogy Tapiót kivásárolták volna a Vastaamóból, ezért most szeretnék visszakapni az összeget.

Tapio a vallomása szerint nem tudott a 2019-es támadásról, mert a fejlesztők nem mondták el neki. Ugyanarról a két fejlesztőről van szó, akik a 2020-as támadáskor Tapióval együtt megkapták a zsaroló levelet, és akikről nem sokkal azután megtudta, hogy

mielőtt a Vastaamóhoz igazoltak volna, letartóztatták őket egy kormányhivatalhoz köthető hackertámadás miatt.

Tapio tanúvallomása szerint a 2019-es eset során a Vastaamo szerverei összeomlottak, és az adatbázis helyén egy zsaroló üzenet jelent meg. A két érintett fejlesztő, Sami Keskinen és Ilari Lind azt mondták neki, hogy a rendszer valószínűleg azért omlott össze, mert kisebb igazításokat végeztek rajta. Viszont a Tapio által felbérelt kiberbiztonsági cég szerint a fejlesztők közös fiókjából valaki elolvasta a zsaroló üzenetet, és kitörölte.

Tapio érvelése szerint a fejlesztők ezzel a lépéssel el akarták titkolni, hogy egy hibájuk miatt több mint egy évig tűzfalvédelem nélkül működött a rendszer. 2017-ben, amikor Lind konfigurálta a szervert, hogy távolról is lehessen kezelni,

ahelyett, hogy felállított volna egy VPN-t, egyszerűen a tűzfalvédelemből vett vissza.

Ezek az adatok már nyilvánosak maradnak

Idén január elején az adatbázis újra megjelent legalább 11 különböző, anonim fájlmegosztó oldalon. Üzenet nem volt mellé, tehát nem tudni, ki és miért osztotta meg, de sokkal kisebb fájlméretben töltötték fel, így gyorsan elterjedt.

A Vastaamo január végén csődöt jelentett, az alkalmazottak és a szolgáltatások a Verve nevű szolgáltatóhoz kerültek. Ez a cég A kategóriás adatkezelő rendszerrel rendelkezik, a kliensek korábbi adatait nem kapták meg a Vastaamotól.

Az érintetteknek viszont együtt kell élniük azzal, hogy a legprivátabb titkaik önhibájukon kívül felkerültek az internetre, és ezzel bármikor bárki visszaélhet. Jere a Wirednek azt mondta, fél attól, hogy visszaélnek a személyazonossággal, vagy problémái lesznek majd a munkakereséssel, ha a lehetséges alkalmazói megtalálják a terápiás jegyzeteket. Ráadásul bármikor az anyja elé kerülhetnek a dokumentumok, akivel azóta megoldotta a konfliktusait, de a fiú szerint ha az anyja valaha elolvassa, miket mondott róla tizenhat évesen a pszichológusának, soha többet nem fog beszélni vele. (A borítókép Kiss Bence grafikája, fotó: LEMOINE / BSIP / BSIP via AFP)