Vakava tietomurto - tuhansien suomalaisten tiedot vuotivat internetiin

[Sami Virkkula 0]

 

http://yle.fi/uutiset/kotimaa/2011/11/vakava_tietomurto_-_tuhansien_suomalaisten_tiedot_vuotivat_internetiin_3005478.html

 

Yli 16 000 suomalaisen tiedot ovat vuotaneet internetiin sivustolle, jossa jaetaan tiedostoja. Joukossa on eri-ikäisiä ja eri aloja edustavia ihmisiä. F-Securen tutkimusjohtaja Mikko Hyppönen pitää vuotoa vakavana. Internetiin päätyi muun muassa ihmisten henkilötunnuksia, osoitteita, puhelinnumeroita ja sähköpostiosoitteita.

 

Täältä voi katsoa löytyykö omat tiedot "jakelusta"

 

http://hpguru.fi/tietovuoto.php

[Ilkka Mannikainen 776]

Huvittavaa miten tällaisista aina tulee niin kova haloo. Kukaan ei kuitenkaan muista tai halua muistaa sellaista asiaa, että Suomessa henkilön joka on millään muotoa vastuussa minkäänlaisessa yritystoiminnassa, tiedot (nimi ja henkilötunnus täydellisenä, kotiosoite) saa Kaupparekisteristä muutamalla klikillä ja siellä ihan kaikkien haettavissa ja väärinkäytettävissä.

 

 

[Guest rsuomi]

Huvittavaa miten tällaisista aina tulee niin kova haloo. Kukaan ei kuitenkaan muista tai halua muistaa sellaista asiaa, että Suomessa henkilön joka on millään muotoa vastuussa minkäänlaisessa yritystoiminnassa, tiedot (nimi ja henkilötunnus täydellisenä, kotiosoite) saa Kaupparekisteristä muutamalla klikillä ja siellä ihan kaikkien haettavissa ja väärinkäytettävissä.

 

 

 

Niinpä.

 

rs

[Jussi Aaltonen 0]

Kukaan ei kuitenkaan muista tai halua muistaa sellaista asiaa, että Suomessa henkilön joka on millään muotoa vastuussa minkäänlaisessa yritystoiminnassa, tiedot (nimi ja henkilötunnus täydellisenä, kotiosoite) saa Kaupparekisteristä muutamalla klikillä ja siellä ihan kaikkien haettavissa ja väärinkäytettävissä.

 

Näytäpä esimerkinomaisesti miten haku tapahtuu... nimenomaan siten kun se tekisi "kuka tahansa" ja muutamalla klikkauksella.

 

.

.

.

.

.

.

.

 

Niin että sitähän minäkin, ei se olekaan ihan niin helppoa 

 

Virre-palvelu, josta kyseiset tiedot saa ulos, on maksullinen palvelu ja sinne jää jälki siitä kuka on hakenut ja mitä. YTJ:stä, joka on PRH:n maksuton palvelu, ei kyseisiä tietoja saa. Toki tiedot saa myös esimerkiksi Asiakastiedolta, mutta sekin on maksullista ja jonkuin muun kuin oman tiedon hakuun heidän rekisteristään täytyy olla perusteltu sopimukseen tai lakiin pohjaava syy.

[Ilkka Mannikainen 776]

Näytäpä esimerkinomaisesti miten haku tapahtuu... nimenomaan siten kun se tekisi "kuka tahansa" ja muutamalla klikkauksella.

 

.

.

.

.

.

.

.

 

Niin että sitähän minäkin, ei se olekaan ihan niin helppoa   

 

Virre-palvelu, josta kyseiset tiedot saa ulos, on maksullinen palvelu ja sinne jää jälki siitä kuka on hakenut ja mitä. YTJ:stä, joka on PRH:n maksuton palvelu, ei kyseisiä tietoja saa. Toki tiedot saa myös esimerkiksi Asiakastiedolta, mutta sekin on maksullista ja jonkuin muun kuin oman tiedon hakuun heidän rekisteristään täytyy olla perusteltu sopimukseen tai lakiin pohjaava syy.

 

Niin eli klikkauksia oli enemmän kuin muutama, sitäkö koitit kertoa? Montako meni? Edelleen sieltä saa kenen tahansa yritysvastuussa olevan tiedot kuka vaan jäi jäljet tai ei. Eli näitä sotuja ja kotiosoitteita on saatavilla koko ajan yhteiskunnassa jossa niin on olevinaan kova yksityisyyden suoja ja vasta kun niitä vuotaa jostain nettiin, nousee haloo.

[Jussi Aaltonen 0]

Niin eli klikkauksia oli enemmän kuin muutama, sitäkö koitit kertoa? Montako meni?

 

Ei... yritin kertoa että yksinkertaistat ja kärjistät joko tarkoituksella tai tietämättömyyttäsi, eli suomeksi sanottuna höpötät omiasi, mutta en ilmeisesti onnistunut siinä kovinkaan hyvin.

[Tatu Koiranen 1 876]

 

Virre-palvelu, josta kyseiset tiedot saa ulos, on maksullinen palvelu ja sinne jää jälki siitä kuka on hakenut ja mitä. YTJ:stä, joka on PRH:n maksuton palvelu, ei kyseisiä tietoja saa. Toki tiedot saa myös esimerkiksi Asiakastiedolta, mutta sekin on maksullista ja jonkuin muun kuin oman tiedon hakuun heidän rekisteristään täytyy olla perusteltu sopimukseen tai lakiin pohjaava syy.

 

Tiedot saa PRH:lta ilman että pyytäjä todistaa henkilöllisyyttään. Pitää olla tietysti sen verran rohkea, että poistuu omasta kotikolosta ja menee ns. ihmisten ilmoille. Virrestä ne saa ja nimenomaan kuka tahansa (sen takia se koko palvelu on olemassa!), ihan "muutamalla klikkauksella" (populistisesti voisin jupista tässä jotain siitä, että ainakin vähemmillä klikkauksilla kuin mitä VR:n lippukaupassa...)

 

No, tästäkään huolimatta en vielä lisää henkilötunnustani allekirjoitukseeni. Ongelma on siinä, että niin moni yritys kuvittelee henkilötunnuksen olevan suunnilleen allekirjoitusta vastaava eli ns. "kova juttu" ja tämä myös mahdollistaa jossainmäärin uskottavien väärinkäytösten tekemisen. Toki mitään juridista sitoumusta minulle ei synny, vaikka joku foorumin jonne tilaisi mulle Jallun vuosikerran, mutta ylimääräistä selvittelyä ja vaivaa siitä kuitenkin syntyy. Ja mahtaisivatko edes toimittaa toista kopiota samasta lehdestä samalla nimel.. eiku siis ei mitään.

[Matti Hyötyniemi 443]

Jotenkin kokonaisvaltaisen tössimisen makua koko touhussa, ensin vuodetaan ison kansanosan henkilötiedot ja sitten julkaistaan kartta (http://hpguru.fi/tietovuoto.php) josta voi tarkistaa, onko joku samassa korttelissa tai samalla kadulla joutunut uhriksi. Kyllä mummot saa taas päiviteltävää naapuritalon aikuiskoulutuksessa tms. käyneestä hulttiosta.. 

 

(Lähiseudulla ei näytä olleen uhreja  )

 

edit: Ja onhan se totta että koko tietoturvasysteemi on nurinkurinen, toisaalta monet henkilötiedot pidetään terkkareissa ja muualla niin monen lukon ja varmistuksen takana, että käyttö on hankalaa ja ongelmatilanteissa totaalisen jumissakin. Toisaalta sitten monessa paikassa id:ksi kelpaa pelkän henkilötunnuksen sanominen. Ja lopuissakin tunnistukseen taitaisi yhä kelvata vanhanmallinen, kuvallinen ajokorttikin, jonka kuva on esimerkiksi vuodelta -85...

[Petri Lehtovirta 911]

Suomen laista löytyy ristiriitaisuutta henkilötietojen käsittelemisessä. Esimerkiksi julkisuuslaki ei pidä henkilötunnusta salassapidettävänä tietona. Keskusrikospoliisi voi siten julkaista tietoja, jotka sisältävät ihmisten henkilötietoja.

 

http://yle.fi/uutiset/kotimaa/2011/11/ts_mika_on_krplle_laillista_on_hakkerille_rikos_3007230.html

 

Että näin 

[Tatu Koiranen 1 876]

Vai että voi keskusrikospoliisi julkaista. On se nyt ***tu näitä toimittajia. Ei KRP mitään erikseen julkaise (ei se ole kustantaja, toisin kuin paskalehtiä tuottavat talot ovat), vaan sillä on viranomaisena hallussa erinäisiä dokumentteja, jotka ovat julkisuuslain (laki viranomaisten toiminnan julkisuudesta) nojalla julkisia. Juttu antaa sellaisen kuvan, että KRP voisi nimenomaan aktiivisesti toimia ja julkaista niitä tietoja (kääntäen: KRP voisi olla julkisematta). Asia ei ole näin. KRP:llä ei ole asiassa juuri mitään päätösvaltaa, vaan sen on noudatettava lakia, joka määrittelee, milloin tieto on julkinen ja milloin ei.

 

Suomessa on tasan yksi viranomainen, joka on tämän lainsäädännön yläpuolella. Se on nykyään nimeltään Liikenteen turvallisuusvirasto, aiemmilta nimiltään mm. ilmailuhallitus, ilmailulaitos, ilmailuhallinto... Sitä ei koske viranomaisten toiminnan julkisuutta koskeva lainsäädäntö, eikä moni muukaan viranomaisen vapautta ikävästi rajoittava säädös.

[Tatu Koiranen 1 876]

edit: Ja onhan se totta että koko tietoturvasysteemi on nurinkurinen, toisaalta monet henkilötiedot pidetään terkkareissa ja muualla niin monen lukon ja varmistuksen takana, että käyttö on hankalaa ja ongelmatilanteissa totaalisen jumissakin. Toisaalta sitten monessa paikassa id:ksi kelpaa pelkän henkilötunnuksen sanominen. Ja lopuissakin tunnistukseen taitaisi yhä kelvata vanhanmallinen, kuvallinen ajokorttikin, jonka kuva on esimerkiksi vuodelta -85...

 

On täysin käsittämätöntä, että henkilötietolaissa on säädetty ihmisen henkilötunnuksen (joka on vain ko. ihmisen "tekninen nimi", jolla ihminen voidaan yksikäsitteisesti yksilöidä ainakin saman maan sisällä) olevan niin erikoinen tieto. Henkilötunnusta koskeva erityislainsäädäntö löytyy luvusta "arkaluonteiset tiedot ja henkilötunnus". Henkilötunnusta ei sentään määritellä arkaluonteiseksi tiedoksi (vrt. tieto ammattiliiton jäsenyydestä () tai henkilön kehitysvammaisuudesta), mutta lain henki haisee ja pahasti.

 

Tämä muinaisjäänne, siis henkilötunnuksen nostaminen jalustalle, on omiaan aiheuttamaan vaan ja ainoastaan ongelmia. Henkilötunnuksen perusteella ei pitäisi voida tehdä yhtään sen enempää oikeustoimia (ei siviili- eikä julkisoikeudellisia) kuin ilman henkilötunnustakaan (tottakai jotkut oikeustoimet voivat edellyttää että henkilötunnus on tiedossa, mutta oikeustoimen (vaikka sopimuksen) syntymisen arviointi ei saa perustua siihen, että henkilötunnus on ilmoitettu, eli esimerkiksi lehtitilauksesta ei tule yhtään sen sitovampaa sillä perusteella, että tilauksen yhteydessä on ilmoitettu hetu). Tällä hetkellä tilanne on valitettavasti toinen... Niin, ja haluan jatkaa vielä tätä vuodatusta: oletteko törmänneet siihen, että ihmiset aristelevat henkilötunnustaan niin, että jättävän sen viimeisen merkin ilmoittamatta ("kun se on kuulemma sellainen salainen juttu..."). helv****, se on laskennallinen tarkiste, jolla vain varmistetaan, ettei henkilötunnukseen ole tullut kirjoitusvirhettä. Tarkiste lasketaan luonnollisesti henkilötunnuksen ensimmäisten yhdeksän numeron perusteella...

 

 

Terveydentilaa koskevat tiedot ovat ihan oikeasti sellaisia, jotka on syytä pitää "monen lukon takana" ja niin, että niiden käyttämistä valvotaan (eli on olemassa rekisteri, josta ilmenee, kuka tietoja on ylipäätään tarkastellut) ja pääsy niihin rajataan tarveperusteisesti tarkasti, ei niin, että sairaalan siivoojakin pääsee kaikkiin tietoihin käsiksi. Tämä siis ko. tietojen väärinkäytön takia, jota tapahtuu sitä enemmän, mitä helpommin tiedot ovat saatavilla ja mitä useampi ihminen niitä pääsee katselemaan.

[Jussi Aaltonen 0]

Virrestä ne saa ja nimenomaan kuka tahansa (sen takia se koko palvelu on olemassa!), ihan "muutamalla klikkauksella" (populistisesti voisin jupista tässä jotain siitä, että ainakin vähemmillä klikkauksilla kuin mitä VR:n lippukaupassa...)

 

Ei niitä kyllä ilmaiseksi saa virrestä... tai sitten olen vaan niin tyhmä ja puusilmäinen että maksan siitä että näen muutkin kuin perustiedot.

 

[Tatu Koiranen 1 876]

Ei niitä kyllä ilmaiseksi saa virrestä... tai sitten olen vaan niin tyhmä ja puusilmäinen että maksan siitä että näen muutkin kuin perustiedot.

 

Ajattelin sen luottokortti/e-maksutapahtuman sisältyvän niihin käytettävissä oleviin klikkauksiin ja kieltämättä ajattelin myös, että sillä "kenellä tahansa" on rahaa sen verran, että voi ko. palvelusta maksaa. Ilmaiseksi sai ainakin aiemmin, kun käveli PRH:sta kysymään, tälläiset nettipalvelut on niitä lisäarvojuttuja joista voidaan kivasti veloittaa.

[Ilkka Mannikainen 776]

Ei niitä kyllä ilmaiseksi saa virrestä... tai sitten olen vaan niin tyhmä ja puusilmäinen että maksan siitä että näen muutkin kuin perustiedot.

 

Kukaan ei ole niitä väittänyt saatavan ilmaiseksi Virrestä tai muualtakaan netistä joten Aaltosen omia termejä käyttäen "höpötät omiasi".

[Jussi Aaltonen 0]

Kukaan ei ole niitä väittänyt saatavan ilmaiseksi Virrestä tai muualtakaan netistä joten Aaltosen omia termejä käyttäen "höpötät omiasi".

 

Sinähän muistaakseni sanoit niiden olevan kenentahansa saatavilla muutamalla klikkauksella.

 

Minä onneton en vain vieläkään saa niitä esiin muutamalla klikkauksella.

 

Ja nyt kun jouduin tuossa ihan muista syistä käymään virressä niin katselin henkilöhakua tarkemmin. Sehän kertoo henkilön luottamusasemat yrityksissä mikäli hakutermeiksi syöttää vähintään etu- ja sukunimen sekä hetun tai syntymäajan... elikkäs kaikki arkaluontoisena pidetyt tiedot pitää olla kysyjällä jo alkuunsa tiedossa... ja palvelu on tosiaankin maksullinen.

[Tatu Koiranen 1 876]

Oi saakeli. Sekin päivä näemmä tuli vastaan, jolloin viittaan pörssirikollisenakin mainetta niittäneeseen Petteri Järviseen muussa kuin negatiivisessa yhteydessä:

 

http://www.uusisuomi.fi/kotimaa/117560-tietovuoto-%E2%80%9Dharhaluulo-henkilotunnuksista%E2%80%9D

[Tatu Koiranen 1 876]

Sinähän muistaakseni sanoit niiden olevan kenentahansa saatavilla muutamalla klikkauksella.

 

Minä onneton en vain vieläkään saa niitä esiin muutamalla klikkauksella.

 

Ja nyt kun jouduin tuossa ihan muista syistä käymään virressä niin katselin henkilöhakua tarkemmin. Sehän kertoo henkilön luottamusasemat yrityksissä mikäli hakutermeiksi syöttää vähintään etu- ja sukunimen sekä hetun tai syntymäajan... elikkäs kaikki arkaluontoisena pidetyt tiedot pitää olla kysyjällä jo alkuunsa tiedossa... ja palvelu on tosiaankin maksullinen.

 

Anteeksi, minulle jäi vielä epäselväksi se, mitä merkitystä sillä palvelun maksullisuudella tai ilmaisuudella on, kun kyse ei ole tuhansien eurojen lahjusrahoista vaan täysin mitättömistä summista, jotka eivät käytännössä rajaa palvelun käytettävyyttä. Vai oliko tässä nyt kyse oikeasti siitä, että oliko niitä klikkauksia 3 vai 10? Entä jos käyttää tietokonetta ilman hiirtä, ihan vain näppäimistöllä? Kun saadaan tämä euro ja klikkausasia käsiteltäväksi, suosittelen seuraavaksi puuttumaan siihen, että eihän kaikilla ole edes tietokonetta saati nettiyhteyttä. Sen jälkeen voi pelata vielä mm. lukutaitokortin ja.... Yritän tässä vaan sanoa, että palvelun maksullisuus ei käytännössä ole rajoittava tekijä ja klikkausten tarkka määrä on aivan turhaa lässytystä.

 

ps.

vaikka väität muuta, niin

etunimi ei ole arkaluontoisena pidetty tieto;

sukunimi ei ole arkaluontoisena pidetty tieto;

syntymäaika ei ole arkaluontoisena pidetty tieto; ja

henkilötunnus ei ole arkaluontoisena pidetty tieto

[Ilkka Mannikainen 776]

Sinähän muistaakseni sanoit niiden olevan kenentahansa saatavilla muutamalla klikkauksella.

 

Minä onneton en vain vieläkään saa niitä esiin muutamalla klikkauksella.

 

Ja nyt kun jouduin tuossa ihan muista syistä käymään virressä niin katselin henkilöhakua tarkemmin. Sehän kertoo henkilön luottamusasemat yrityksissä mikäli hakutermeiksi syöttää vähintään etu- ja sukunimen sekä hetun tai syntymäajan... elikkäs kaikki arkaluontoisena pidetyt tiedot pitää olla kysyjällä jo alkuunsa tiedossa... ja palvelu on tosiaankin maksullinen.

 

Kyllä, kenellä tahansa jolla on rahaa, saatavilla. En ole väittänytkään palvelua ilmaiseksi, se oli Aaltosen omia illuusioita. Perseaukiset voivat tietenkin vaikka varastaa naapurin luottokortin tai mummun pankkitunnukset ja ostaa niillä, joten omaa rahaakaan ei tarvita jos sitä ei ole. Esimerkiksi kaupparekisteriote keroo kaikkien hallituksen jäsenten, toimitusjohtajan, prukuristien sotut ja kotiosoitteet eli ei tarvitse tietää kun firman nimi mikä juolahtaa mieleen, niin kaikki nuo ovat kaikkien saatavilla.

 

Eli sellainen tietoturvasuoja meillä Suomessa.

[Tatu Koiranen 1 876]

Eli sellainen tietoturvasuoja meillä Suomessa.

 

Mikä ihmeen tietoturvasuoja? Eihän tässä tämänhetkisessä keskustelussa ole millään muotoa kysymys tietoturvasta, vaan siitä, että julkiset tiedot ovat julkisia (toki alkuperäinen uutinen liittyi vahvasti tietoturvaan). http://fi.wikipedia.org/wiki/Tietoturva

[Ilkka Mannikainen 776]

No niin, nyt aletaankin pääsemaan aiheeseen kun Aaltosen ylitsepääsemätön pari euroa ja klikkaukset alkaa olla käsitelty.

 

Eli miksi yritysvastuussa olevien sotu kokonaisuudessaan ja kotiosoite ovat julkista tietoa kun yritysvastuuttomien tiedot taas eivät ole julkisia?

Epätasa-arvoinen ja ihmeellinen tilanne sikälikin että heti kun joku tuollainen tietoturvavuoto tulee ilmi, niin kaikki haavi auki jeesustelee samaan aikaan kun Kaupparekisteri tarjoaa samaa tietoa sen kun hakee vaan.

[Tatu Koiranen 1 876]

Eli miksi yritysvastuussa olevien sotu kokonaisuudessaan ja kotiosoite ovat julkista tietoa kun yritysvastuuttomien tiedot taas eivät ole julkisia?

Epätasa-arvoinen ja ihmeellinen tilanne sikälikin että heti kun joku tuollainen tietoturvavuoto tulee ilmi, niin kaikki haavi auki jeesustelee samaan aikaan kun Kaupparekisteri tarjoaa samaa tietoa sen kun hakee vaan.

 

Lähtökohtaisesti ajattelen asian niin, että se yritysvastuuseen asettautuminen on aina jokaisen oma valinta, ja lainsäädäntöhän on kaikilla suomalaisilla tietysti tiedossa (tai siis, "voidaan olettaa olevan", vaikka tiedetään, ettei ole). Ei siis tule yllätyksenä kenellekään, että tiedot on saatavissa, eihän. Sama pätee vaikka ilmailukerhojen nimenkirjoittajiin, jotka on ilmoitettu PRH:lle. On tietysti totta, että yrittäjäksi ryhtyminen on sinällään perusoikeus, mutta toisaalta on myös pakko olla tehokkaita keinoja näiden yrityksissä valtaa käyttävien henkilöiden yksilöimiseen tilanteissa, joissa he käyttävät esimerkiksi nimenkirjoitusoikeuttaan yrityksen edustajana. Osoitetietojen tarpeellisuuden voi tietysti jossain määrin kyseenalaistaa, mutta eihän ne nyt ketään kiinnosta, kun voidaan hehkuttaa sitä suurta salaista henkilötunnusta.

 

Kovinkaan ihmeellisenä tai yllättävänä en tätä jeesustelua pidä, koska keskimääräinen toimittaja ei tajua näistä asioista suunnilleen yhtään mitään, mutta keskimääräinen kansalainen lukee ja uskoo suunnilleen kaiken, mitä se toimittaja asiasta kirjoittaa. Jeesustella voisi lähinnä siitä, miksi esaridokumentit on säädetty sillä tavalla / siinä laajuudessa julkisiksi kuin ne nyt ovat (enkä tarkoita niitä ihmisten sarjanumeroita, vaan lähinnä osoitetietoja), poliisin suorittava toiminta ei liity tähän asiaan kuitenkaan millään tavalla.

[Kalle Rantanen 64]

Suosittelen kaikkia pitämään mielessä, että tätä huippusalaista hetua jokainen on todennäköisesti vilautellut joka toiselle kassaneidille. Muista tahoista nyt puhumattakaan. Ainoa ongelma tässä on se, että hetua käytetään henkilöllisyyden varmentamiseen vaikka se soveltuu siihen huonoimmalla mahdollisella tavalla.

[Tero Lahtinen 3]

Suosittelen kaikkia pitämään mielessä, että tätä huippusalaista hetua jokainen on todennäköisesti vilautellut joka toiselle kassaneidille. Muista tahoista nyt puhumattakaan. Ainoa ongelma tässä on se, että hetua käytetään henkilöllisyyden varmentamiseen vaikka se soveltuu siihen huonoimmalla mahdollisella tavalla.

 

Mä tuppaan ajattelemaan vähän samalla tavalla. Vakavan tietomurrosta tekisi, jos siinä olisi maksutunnuksia, terveys- tai muita arkaluontoisia viranomaistietoja.

[Arne Wallen 72]

Tjah

Kukaan ole minusta kiinnostunut, jos kaikki tietoni olisivat netissä niin porukka nauraisi.Eli tavallinen ihminen joka harastaa historiaa eikä ole käynnyt kasvojen tai vatsankohotuksessa, ei mitään kivaa, pyh.

[Guest rsuomi]

Tjah

Kukaan ole minusta kiinnostunut, jos kaikki tietoni olisivat netissä niin porukka nauraisi.Eli tavallinen ihminen joka harastaa historiaa eikä ole käynnyt kasvojen tai vatsankohotuksessa, ei mitään kivaa, pyh.

 

Joo, ei meillä Arne oo mitään syytä huoleen!

 

rs