Sami Virkkula

Vakava tietomurto - tuhansien suomalaisten tiedot vuotivat internetiin

34 viestiä aiheessa

 

http://yle.fi/uutiset/kotimaa/2011/11/vakava_tietomurto_-_tuhansien_suomalaisten_tiedot_vuotivat_internetiin_3005478.html

 

Yli 16 000 suomalaisen tiedot ovat vuotaneet internetiin sivustolle, jossa jaetaan tiedostoja. Joukossa on eri-ikäisiä ja eri aloja edustavia ihmisiä. F-Securen tutkimusjohtaja Mikko Hyppönen pitää vuotoa vakavana. Internetiin päätyi muun muassa ihmisten henkilötunnuksia, osoitteita, puhelinnumeroita ja sähköpostiosoitteita.

 

Täältä voi katsoa löytyykö omat tiedot "jakelusta"

 

http://hpguru.fi/tietovuoto.php

Jaa viesti


Link to post
Jaa muulla sivustolla

Huvittavaa miten tällaisista aina tulee niin kova haloo. Kukaan ei kuitenkaan muista tai halua muistaa sellaista asiaa, että Suomessa henkilön joka on millään muotoa vastuussa minkäänlaisessa yritystoiminnassa, tiedot (nimi ja henkilötunnus täydellisenä, kotiosoite) saa Kaupparekisteristä muutamalla klikillä ja siellä ihan kaikkien haettavissa ja väärinkäytettävissä.

 

 

Jaa viesti


Link to post
Jaa muulla sivustolla

Huvittavaa miten tällaisista aina tulee niin kova haloo. Kukaan ei kuitenkaan muista tai halua muistaa sellaista asiaa, että Suomessa henkilön joka on millään muotoa vastuussa minkäänlaisessa yritystoiminnassa, tiedot (nimi ja henkilötunnus täydellisenä, kotiosoite) saa Kaupparekisteristä muutamalla klikillä ja siellä ihan kaikkien haettavissa ja väärinkäytettävissä.

 

 

 

Niinpä.

 

rs

Jaa viesti


Link to post
Jaa muulla sivustolla

Kukaan ei kuitenkaan muista tai halua muistaa sellaista asiaa, että Suomessa henkilön joka on millään muotoa vastuussa minkäänlaisessa yritystoiminnassa, tiedot (nimi ja henkilötunnus täydellisenä, kotiosoite) saa Kaupparekisteristä muutamalla klikillä ja siellä ihan kaikkien haettavissa ja väärinkäytettävissä.

 

Näytäpä esimerkinomaisesti miten haku tapahtuu... nimenomaan siten kun se tekisi "kuka tahansa" ja muutamalla klikkauksella.

 

.

.

.

.

.

.

.

 

Niin että sitähän minäkin, ei se olekaan ihan niin helppoa  :laugh:

 

Virre-palvelu, josta kyseiset tiedot saa ulos, on maksullinen palvelu ja sinne jää jälki siitä kuka on hakenut ja mitä. YTJ:stä, joka on PRH:n maksuton palvelu, ei kyseisiä tietoja saa. Toki tiedot saa myös esimerkiksi Asiakastiedolta, mutta sekin on maksullista ja jonkuin muun kuin oman tiedon hakuun heidän rekisteristään täytyy olla perusteltu sopimukseen tai lakiin pohjaava syy.

Jaa viesti


Link to post
Jaa muulla sivustolla

Näytäpä esimerkinomaisesti miten haku tapahtuu... nimenomaan siten kun se tekisi "kuka tahansa" ja muutamalla klikkauksella.

 

.

.

.

.

.

.

.

 

Niin että sitähän minäkin, ei se olekaan ihan niin helppoa   :laugh:

 

Virre-palvelu, josta kyseiset tiedot saa ulos, on maksullinen palvelu ja sinne jää jälki siitä kuka on hakenut ja mitä. YTJ:stä, joka on PRH:n maksuton palvelu, ei kyseisiä tietoja saa. Toki tiedot saa myös esimerkiksi Asiakastiedolta, mutta sekin on maksullista ja jonkuin muun kuin oman tiedon hakuun heidän rekisteristään täytyy olla perusteltu sopimukseen tai lakiin pohjaava syy.

 

Niin eli klikkauksia oli enemmän kuin muutama, sitäkö koitit kertoa? Montako meni? Edelleen sieltä saa kenen tahansa yritysvastuussa olevan tiedot kuka vaan jäi jäljet tai ei. Eli näitä sotuja ja kotiosoitteita on saatavilla koko ajan yhteiskunnassa jossa niin on olevinaan kova yksityisyyden suoja ja vasta kun niitä vuotaa jostain nettiin, nousee haloo.

Jaa viesti


Link to post
Jaa muulla sivustolla

Niin eli klikkauksia oli enemmän kuin muutama, sitäkö koitit kertoa? Montako meni?

 

Ei... yritin kertoa että yksinkertaistat ja kärjistät joko tarkoituksella tai tietämättömyyttäsi, eli suomeksi sanottuna höpötät omiasi, mutta en ilmeisesti onnistunut siinä kovinkaan hyvin.

Jaa viesti


Link to post
Jaa muulla sivustolla

 

Virre-palvelu, josta kyseiset tiedot saa ulos, on maksullinen palvelu ja sinne jää jälki siitä kuka on hakenut ja mitä. YTJ:stä, joka on PRH:n maksuton palvelu, ei kyseisiä tietoja saa. Toki tiedot saa myös esimerkiksi Asiakastiedolta, mutta sekin on maksullista ja jonkuin muun kuin oman tiedon hakuun heidän rekisteristään täytyy olla perusteltu sopimukseen tai lakiin pohjaava syy.

 

Tiedot saa PRH:lta ilman että pyytäjä todistaa henkilöllisyyttään. Pitää olla tietysti sen verran rohkea, että poistuu omasta kotikolosta ja menee ns. ihmisten ilmoille. Virrestä ne saa ja nimenomaan kuka tahansa (sen takia se koko palvelu on olemassa!), ihan "muutamalla klikkauksella" (populistisesti voisin jupista tässä jotain siitä, että ainakin vähemmillä klikkauksilla kuin mitä VR:n lippukaupassa...)

 

No, tästäkään huolimatta en vielä lisää henkilötunnustani allekirjoitukseeni. Ongelma on siinä, että niin moni yritys kuvittelee henkilötunnuksen olevan suunnilleen allekirjoitusta vastaava eli ns. "kova juttu" ja tämä myös mahdollistaa jossainmäärin uskottavien väärinkäytösten tekemisen. Toki mitään juridista sitoumusta minulle ei synny, vaikka joku foorumin jonne tilaisi mulle Jallun vuosikerran, mutta ylimääräistä selvittelyä ja vaivaa siitä kuitenkin syntyy. Ja mahtaisivatko edes toimittaa toista kopiota samasta lehdestä samalla nimel.. eiku siis ei mitään.

Jaa viesti


Link to post
Jaa muulla sivustolla

Jotenkin kokonaisvaltaisen tössimisen makua koko touhussa, ensin vuodetaan ison kansanosan henkilötiedot ja sitten julkaistaan kartta (http://hpguru.fi/tietovuoto.php) josta voi tarkistaa, onko joku samassa korttelissa tai samalla kadulla joutunut uhriksi. Kyllä mummot saa taas päiviteltävää naapuritalon aikuiskoulutuksessa tms. käyneestä hulttiosta..  :thmbdn:

 

(Lähiseudulla ei näytä olleen uhreja  :thmbup:)

 

edit: Ja onhan se totta että koko tietoturvasysteemi on nurinkurinen, toisaalta monet henkilötiedot pidetään terkkareissa ja muualla niin monen lukon ja varmistuksen takana, että käyttö on hankalaa ja ongelmatilanteissa totaalisen jumissakin. Toisaalta sitten monessa paikassa id:ksi kelpaa pelkän henkilötunnuksen sanominen. Ja lopuissakin tunnistukseen taitaisi yhä kelvata vanhanmallinen, kuvallinen ajokorttikin, jonka kuva on esimerkiksi vuodelta -85...

Jaa viesti


Link to post
Jaa muulla sivustolla

Vai että voi keskusrikospoliisi julkaista. On se nyt ***tu näitä toimittajia. Ei KRP mitään erikseen julkaise (ei se ole kustantaja, toisin kuin paskalehtiä tuottavat talot ovat), vaan sillä on viranomaisena hallussa erinäisiä dokumentteja, jotka ovat julkisuuslain (laki viranomaisten toiminnan julkisuudesta) nojalla julkisia. Juttu antaa sellaisen kuvan, että KRP voisi nimenomaan aktiivisesti toimia ja julkaista niitä tietoja (kääntäen: KRP voisi olla julkisematta). Asia ei ole näin. KRP:llä ei ole asiassa juuri mitään päätösvaltaa, vaan sen on noudatettava lakia, joka määrittelee, milloin tieto on julkinen ja milloin ei.

 

Suomessa on tasan yksi viranomainen, joka on tämän lainsäädännön yläpuolella. Se on nykyään nimeltään Liikenteen turvallisuusvirasto, aiemmilta nimiltään mm. ilmailuhallitus, ilmailulaitos, ilmailuhallinto... Sitä ei koske viranomaisten toiminnan julkisuutta koskeva lainsäädäntö, eikä moni muukaan viranomaisen vapautta ikävästi rajoittava säädös.

Jaa viesti


Link to post
Jaa muulla sivustolla

edit: Ja onhan se totta että koko tietoturvasysteemi on nurinkurinen, toisaalta monet henkilötiedot pidetään terkkareissa ja muualla niin monen lukon ja varmistuksen takana, että käyttö on hankalaa ja ongelmatilanteissa totaalisen jumissakin. Toisaalta sitten monessa paikassa id:ksi kelpaa pelkän henkilötunnuksen sanominen. Ja lopuissakin tunnistukseen taitaisi yhä kelvata vanhanmallinen, kuvallinen ajokorttikin, jonka kuva on esimerkiksi vuodelta -85...

 

On täysin käsittämätöntä, että henkilötietolaissa on säädetty ihmisen henkilötunnuksen (joka on vain ko. ihmisen "tekninen nimi", jolla ihminen voidaan yksikäsitteisesti yksilöidä ainakin saman maan sisällä) olevan niin erikoinen tieto. Henkilötunnusta koskeva erityislainsäädäntö löytyy luvusta "arkaluonteiset tiedot ja henkilötunnus". Henkilötunnusta ei sentään määritellä arkaluonteiseksi tiedoksi (vrt. tieto ammattiliiton jäsenyydestä (:D) tai henkilön kehitysvammaisuudesta), mutta lain henki haisee ja pahasti.

 

Tämä muinaisjäänne, siis henkilötunnuksen nostaminen jalustalle, on omiaan aiheuttamaan vaan ja ainoastaan ongelmia. Henkilötunnuksen perusteella ei pitäisi voida tehdä yhtään sen enempää oikeustoimia (ei siviili- eikä julkisoikeudellisia) kuin ilman henkilötunnustakaan (tottakai jotkut oikeustoimet voivat edellyttää että henkilötunnus on tiedossa, mutta oikeustoimen (vaikka sopimuksen) syntymisen arviointi ei saa perustua siihen, että henkilötunnus on ilmoitettu, eli esimerkiksi lehtitilauksesta ei tule yhtään sen sitovampaa sillä perusteella, että tilauksen yhteydessä on ilmoitettu hetu). Tällä hetkellä tilanne on valitettavasti toinen... Niin, ja haluan jatkaa vielä tätä vuodatusta: oletteko törmänneet siihen, että ihmiset aristelevat henkilötunnustaan niin, että jättävän sen viimeisen merkin ilmoittamatta ("kun se on kuulemma sellainen salainen juttu..."). helv****, se on laskennallinen tarkiste, jolla vain varmistetaan, ettei henkilötunnukseen ole tullut kirjoitusvirhettä. Tarkiste lasketaan luonnollisesti henkilötunnuksen ensimmäisten yhdeksän numeron perusteella...

 

 

Terveydentilaa koskevat tiedot ovat ihan oikeasti sellaisia, jotka on syytä pitää "monen lukon takana" ja niin, että niiden käyttämistä valvotaan (eli on olemassa rekisteri, josta ilmenee, kuka tietoja on ylipäätään tarkastellut) ja pääsy niihin rajataan tarveperusteisesti tarkasti, ei niin, että sairaalan siivoojakin pääsee kaikkiin tietoihin käsiksi. Tämä siis ko. tietojen väärinkäytön takia, jota tapahtuu sitä enemmän, mitä helpommin tiedot ovat saatavilla ja mitä useampi ihminen niitä pääsee katselemaan.

Jaa viesti


Link to post
Jaa muulla sivustolla

Virrestä ne saa ja nimenomaan kuka tahansa (sen takia se koko palvelu on olemassa!), ihan "muutamalla klikkauksella" (populistisesti voisin jupista tässä jotain siitä, että ainakin vähemmillä klikkauksilla kuin mitä VR:n lippukaupassa...)

 

Ei niitä kyllä ilmaiseksi saa virrestä... tai sitten olen vaan niin tyhmä ja puusilmäinen että maksan siitä että näen muutkin kuin perustiedot.

 

Jaa viesti


Link to post
Jaa muulla sivustolla

Ei niitä kyllä ilmaiseksi saa virrestä... tai sitten olen vaan niin tyhmä ja puusilmäinen että maksan siitä että näen muutkin kuin perustiedot.

 

Ajattelin sen luottokortti/e-maksutapahtuman sisältyvän niihin käytettävissä oleviin klikkauksiin ja kieltämättä ajattelin myös, että sillä "kenellä tahansa" on rahaa sen verran, että voi ko. palvelusta maksaa. Ilmaiseksi sai ainakin aiemmin, kun käveli PRH:sta kysymään, tälläiset nettipalvelut on niitä lisäarvojuttuja joista voidaan kivasti veloittaa.

Jaa viesti


Link to post
Jaa muulla sivustolla

Ei niitä kyllä ilmaiseksi saa virrestä... tai sitten olen vaan niin tyhmä ja puusilmäinen että maksan siitä että näen muutkin kuin perustiedot.

 

Kukaan ei ole niitä väittänyt saatavan ilmaiseksi Virrestä tai muualtakaan netistä joten Aaltosen omia termejä käyttäen "höpötät omiasi".

Jaa viesti


Link to post
Jaa muulla sivustolla

Kukaan ei ole niitä väittänyt saatavan ilmaiseksi Virrestä tai muualtakaan netistä joten Aaltosen omia termejä käyttäen "höpötät omiasi".

 

Sinähän muistaakseni sanoit niiden olevan kenentahansa saatavilla muutamalla klikkauksella.

 

Minä onneton en vain vieläkään saa niitä esiin muutamalla klikkauksella.

 

Ja nyt kun jouduin tuossa ihan muista syistä käymään virressä niin katselin henkilöhakua tarkemmin. Sehän kertoo henkilön luottamusasemat yrityksissä mikäli hakutermeiksi syöttää vähintään etu- ja sukunimen sekä hetun tai syntymäajan... elikkäs kaikki arkaluontoisena pidetyt tiedot pitää olla kysyjällä jo alkuunsa tiedossa... ja palvelu on tosiaankin maksullinen.

Jaa viesti


Link to post
Jaa muulla sivustolla

Sinähän muistaakseni sanoit niiden olevan kenentahansa saatavilla muutamalla klikkauksella.

 

Minä onneton en vain vieläkään saa niitä esiin muutamalla klikkauksella.

 

Ja nyt kun jouduin tuossa ihan muista syistä käymään virressä niin katselin henkilöhakua tarkemmin. Sehän kertoo henkilön luottamusasemat yrityksissä mikäli hakutermeiksi syöttää vähintään etu- ja sukunimen sekä hetun tai syntymäajan... elikkäs kaikki arkaluontoisena pidetyt tiedot pitää olla kysyjällä jo alkuunsa tiedossa... ja palvelu on tosiaankin maksullinen.

 

Anteeksi, minulle jäi vielä epäselväksi se, mitä merkitystä sillä palvelun maksullisuudella tai ilmaisuudella on, kun kyse ei ole tuhansien eurojen lahjusrahoista vaan täysin mitättömistä summista, jotka eivät käytännössä rajaa palvelun käytettävyyttä. Vai oliko tässä nyt kyse oikeasti siitä, että oliko niitä klikkauksia 3 vai 10? Entä jos käyttää tietokonetta ilman hiirtä, ihan vain näppäimistöllä? Kun saadaan tämä euro ja klikkausasia käsiteltäväksi, suosittelen seuraavaksi puuttumaan siihen, että eihän kaikilla ole edes tietokonetta saati nettiyhteyttä. Sen jälkeen voi pelata vielä mm. lukutaitokortin ja.... Yritän tässä vaan sanoa, että palvelun maksullisuus ei käytännössä ole rajoittava tekijä ja klikkausten tarkka määrä on aivan turhaa lässytystä.

 

ps.

vaikka väität muuta, niin

etunimi ei ole arkaluontoisena pidetty tieto;

sukunimi ei ole arkaluontoisena pidetty tieto;

syntymäaika ei ole arkaluontoisena pidetty tieto; ja

henkilötunnus ei ole arkaluontoisena pidetty tieto

Jaa viesti


Link to post
Jaa muulla sivustolla

Sinähän muistaakseni sanoit niiden olevan kenentahansa saatavilla muutamalla klikkauksella.

 

Minä onneton en vain vieläkään saa niitä esiin muutamalla klikkauksella.

 

Ja nyt kun jouduin tuossa ihan muista syistä käymään virressä niin katselin henkilöhakua tarkemmin. Sehän kertoo henkilön luottamusasemat yrityksissä mikäli hakutermeiksi syöttää vähintään etu- ja sukunimen sekä hetun tai syntymäajan... elikkäs kaikki arkaluontoisena pidetyt tiedot pitää olla kysyjällä jo alkuunsa tiedossa... ja palvelu on tosiaankin maksullinen.

 

Kyllä, kenellä tahansa jolla on rahaa, saatavilla. En ole väittänytkään palvelua ilmaiseksi, se oli Aaltosen omia illuusioita. Perseaukiset voivat tietenkin vaikka varastaa naapurin luottokortin tai mummun pankkitunnukset ja ostaa niillä, joten omaa rahaakaan ei tarvita jos sitä ei ole. Esimerkiksi kaupparekisteriote keroo kaikkien hallituksen jäsenten, toimitusjohtajan, prukuristien sotut ja kotiosoitteet eli ei tarvitse tietää kun firman nimi mikä juolahtaa mieleen, niin kaikki nuo ovat kaikkien saatavilla.

 

Eli sellainen tietoturvasuoja meillä Suomessa.

Jaa viesti


Link to post
Jaa muulla sivustolla

Eli sellainen tietoturvasuoja meillä Suomessa.

 

Mikä ihmeen tietoturvasuoja? Eihän tässä tämänhetkisessä keskustelussa ole millään muotoa kysymys tietoturvasta, vaan siitä, että julkiset tiedot ovat julkisia (toki alkuperäinen uutinen liittyi vahvasti tietoturvaan). http://fi.wikipedia.org/wiki/Tietoturva

Jaa viesti


Link to post
Jaa muulla sivustolla

No niin, nyt aletaankin pääsemaan aiheeseen kun Aaltosen ylitsepääsemätön pari euroa ja klikkaukset alkaa olla käsitelty.

 

Eli miksi yritysvastuussa olevien sotu kokonaisuudessaan ja kotiosoite ovat julkista tietoa kun yritysvastuuttomien tiedot taas eivät ole julkisia?

Epätasa-arvoinen ja ihmeellinen tilanne sikälikin että heti kun joku tuollainen tietoturvavuoto tulee ilmi, niin kaikki haavi auki jeesustelee samaan aikaan kun Kaupparekisteri tarjoaa samaa tietoa sen kun hakee vaan.

Jaa viesti


Link to post
Jaa muulla sivustolla

Eli miksi yritysvastuussa olevien sotu kokonaisuudessaan ja kotiosoite ovat julkista tietoa kun yritysvastuuttomien tiedot taas eivät ole julkisia?

Epätasa-arvoinen ja ihmeellinen tilanne sikälikin että heti kun joku tuollainen tietoturvavuoto tulee ilmi, niin kaikki haavi auki jeesustelee samaan aikaan kun Kaupparekisteri tarjoaa samaa tietoa sen kun hakee vaan.

 

Lähtökohtaisesti ajattelen asian niin, että se yritysvastuuseen asettautuminen on aina jokaisen oma valinta, ja lainsäädäntöhän on kaikilla suomalaisilla tietysti tiedossa (tai siis, "voidaan olettaa olevan", vaikka tiedetään, ettei ole). Ei siis tule yllätyksenä kenellekään, että tiedot on saatavissa, eihän. Sama pätee vaikka ilmailukerhojen nimenkirjoittajiin, jotka on ilmoitettu PRH:lle. On tietysti totta, että yrittäjäksi ryhtyminen on sinällään perusoikeus, mutta toisaalta on myös pakko olla tehokkaita keinoja näiden yrityksissä valtaa käyttävien henkilöiden yksilöimiseen tilanteissa, joissa he käyttävät esimerkiksi nimenkirjoitusoikeuttaan yrityksen edustajana. Osoitetietojen tarpeellisuuden voi tietysti jossain määrin kyseenalaistaa, mutta eihän ne nyt ketään kiinnosta, kun voidaan hehkuttaa sitä suurta salaista henkilötunnusta.

 

Kovinkaan ihmeellisenä tai yllättävänä en tätä jeesustelua pidä, koska keskimääräinen toimittaja ei tajua näistä asioista suunnilleen yhtään mitään, mutta keskimääräinen kansalainen lukee ja uskoo suunnilleen kaiken, mitä se toimittaja asiasta kirjoittaa. Jeesustella voisi lähinnä siitä, miksi esaridokumentit on säädetty sillä tavalla / siinä laajuudessa julkisiksi kuin ne nyt ovat (enkä tarkoita niitä ihmisten sarjanumeroita, vaan lähinnä osoitetietoja), poliisin suorittava toiminta ei liity tähän asiaan kuitenkaan millään tavalla.

Jaa viesti


Link to post
Jaa muulla sivustolla

Suosittelen kaikkia pitämään mielessä, että tätä huippusalaista hetua jokainen on todennäköisesti vilautellut joka toiselle kassaneidille. Muista tahoista nyt puhumattakaan. Ainoa ongelma tässä on se, että hetua käytetään henkilöllisyyden varmentamiseen vaikka se soveltuu siihen huonoimmalla mahdollisella tavalla.

Jaa viesti


Link to post
Jaa muulla sivustolla

Suosittelen kaikkia pitämään mielessä, että tätä huippusalaista hetua jokainen on todennäköisesti vilautellut joka toiselle kassaneidille. Muista tahoista nyt puhumattakaan. Ainoa ongelma tässä on se, että hetua käytetään henkilöllisyyden varmentamiseen vaikka se soveltuu siihen huonoimmalla mahdollisella tavalla.

 

Mä tuppaan ajattelemaan vähän samalla tavalla. Vakavan tietomurrosta tekisi, jos siinä olisi maksutunnuksia, terveys- tai muita arkaluontoisia viranomaistietoja.

Jaa viesti


Link to post
Jaa muulla sivustolla

Tjah

Kukaan ole minusta kiinnostunut, jos kaikki tietoni olisivat netissä niin porukka nauraisi.Eli tavallinen ihminen joka harastaa historiaa eikä ole käynnyt kasvojen tai vatsankohotuksessa, ei mitään kivaa, pyh.

Jaa viesti


Link to post
Jaa muulla sivustolla

Tjah

Kukaan ole minusta kiinnostunut, jos kaikki tietoni olisivat netissä niin porukka nauraisi.Eli tavallinen ihminen joka harastaa historiaa eikä ole käynnyt kasvojen tai vatsankohotuksessa, ei mitään kivaa, pyh.

 

Joo, ei meillä Arne oo mitään syytä huoleen! :)

 

rs

Jaa viesti


Link to post
Jaa muulla sivustolla

Luo uusi käyttäjätunnus tai kirjaudu sisään

Sinun täytyy olla jäsen osallistuaksesi keskusteluun

Luo käyttäjätili

Rekisteröi uusi käyttäjätili helposti ja nopeasti!


Luo uusi käyttäjätili

Kirjaudu sisään

Sinulla on jo käyttäjätili?


Kirjaudu sisään