Hoppa till huvudinnehåll

Vastaamo-utpressaren begick ett stort misstag i fredags - de stulna uppgifterna finns sannolikt inte längre endast hos utpressaren, säger F-Secures Hyppönen

F-secures forskningschef Mikko Hyppönen
F-Secures forskningsdirektör Mikko Hyppönen. F-secures forskningschef Mikko Hyppönen Bild: Yle/Johan Gullmets mikko hyppönen

De stulna patientuppgifterna från psykoterapicentret Vastaamo är sannolikt inte längre endast i utpressarens händer, bedömer F-Secures forskningsdirektör Mikko Hyppönen i en intervju för Yle Uutiset.

Brottslingen publicerade förra veckan sammanlagt ungefär 300 kunders patientuppgifter i det anonyma Tor-nätverket.

I fredags dök det också för en stund upp på sidan en 10 gigabyte stor fil, som flera andra nätanvändare säger sig ha lyckats ladda ner, åtminstone delvis.

Det är vid det här laget oklart vad den stora filen innehöll. Enligt Hyppönen är det ändå sannolikt att den innehöll hela patientdatabasen.

Bland annat det faktum, att det olagligt har publicerats nya patientuppgifter på forumet Torilauta i helgen och i början av den här veckan, syftar på det.

Enligt Yles uppgifter är patientuppgifterna inte från de filer som utpressaren ursprungligen publicerade.

De som har publicerat uppgifterna har haft olika signaturer än den som utpressaren använt.

– Det var onekligen ett väldigt stort misstag av förövaren. Hen släppte ifrån sig sin allra viktigaste information, som hen under inga omständigheter skulle vilja släppa ifrån sig, säger Hyppönen.

– Hur hen kunde göra en så här stor blunder kan jag inte säga. Det har säkert varit ett misstag. Kanske hen har blandat mellan två filer med samma namn. Där fanns ju två speciella filer med samma namn under en kort tid.

Storleken på filen tyder enligt Hyppönen på att den också innehöll annat än text. Inte ens 40 000 personers patientjournaler tar upp 10 gigabyte i textform.

Också polisen bekräftar att det finns tecken på att uppgifterna har spridits. Kriminalkommissarie Tero Muurman kan ändå inte säga om utpressaren har publicerat alla de stulna uppgifterna eller endast en del på nätet.

Det att uppgifterna eventuellt har spridits betyder för utpressningsoffrens del i ännu starkare mån att det inte lönar sig att betala lösen.

Även om den ursprungliga utpressaren skulle radera uppgifterna kan nya utpressare ersätta hen.

Polisen och Bitcoinförmedlare har också annars gett offren rådet att inte betala något till utpressaren.

"Hen verkar nyckfull"

Sändandet av utpressningsbreven innebar också en förändring i utpressarens tillvägagångssätt.

Ursprungligen krävde utpressaren endast lösen av Vastaamo. I lördags vände utpressaren av en eller annan orsak sin uppmärksamhet mot Vastaamos kunder.

Enligt Hyppönen verkar utpressarens senaste handling kanske som ett desperat försök att få ens någon ekonomisk vinning av operationen.

– Hen verkar ganska nyckfull. Det känns som att hen kanske inte sen heller hade en så stark plan. Det här är en av orsakerna till att det enligt mig börjar verka mer som att angriparen är en enskild person och inte ett professionellt kriminellt gäng, säger Hyppönen.

Det verkar alltså som att utpressaren befinner sig i en situation, där hen inte nödvändigtvis längre har något att utöva utpressning med.

Arbetslivsprofessor Martti Lehto vid Jyväskylä universitet - som har forskat i dataintrång som riktar sig mot hälsovårdstjänster - har noterat samma sak.

Enligt honom är arrangemangen i angreppen ofta annorlunda: hackare hindrar till exempel sjukhuset att använda patientdatabasen tills lösen har betalats. I de här utpressningarna har man ibland lyckats.

– Nu är Vastaamos fuktionsförmåga inte i sig målet. Tekniskt kunde Vastaamo fortsätta sin verksamhet som tidigare, funderar Lehto.

Också hotet om ett skadat rykte har redan blivit verklighet för Vastaamos del. Kundernas och samarbetspartnernas förtroende för bolaget har fått sig en törn.

Den långa väntetiden kan ha varit en genomtänkt handling

Vastaamo medgav i måndags att företaget blivit utsatt för två dataintrång. De uppgifter som nu används för utpressningen har fåtts i november 2018. Därtill har man fått vetskap om ett annat intrång i mars 2019.

Den verkliga verkan av det dataintrånget är vid det här laget oklar.

I måndags gav Vastaamo sparken åt bolagets vd och grundare Ville Tapio.

Tapio kommenterade saken senare samma dag på Facebook. Han skrev att han är väldigt ledsen för det som hänt kunderna och de anställda på Vastaamo.

Det är vid det här laget oklart varför man har börjat använda de stulna uppgifterna först två år efter dataintrånget. Både Hyppönen och Lehto ser ändå att väntetiden kan ha varit en genomtänkt handling. Under den tiden hinner en del av bevisen försvinna.

– Om intrånget hade gjorts nyligen skulle det finnas mycket loggdata, metadata och kanske till och med öppna sessioner om det. I det gamla finns nödvändigtvis inget kvar, säger Hyppönen.

Ett annat möjligt alternativ är att någon annan ursprungligen har stulit uppgifterna och sålt dem till den nuvarande utpressaren.

Centralkriminalpolisen utreder dataintrånget i Vastaamos datasystem som grovt dataintrång, grov utpressning och grovt spridande av information som kränker privatlivet.

F-Secures forskningsdirektör Mikko Hyppönen gästade A-Studio i tisdags (27.10) på Yle TV1 och på Arenan:

Artikeln är en bearbetad översättning av Yle Uutisets artikel "Vastaamo-kiristäjä teki pahan virheen perjantaina, sanoo F-Securen Hyppönen: 'Hän päästi käsistään kaikkein tärkeimmän tietonsa'” skriven av Veli-Pekka Hämäläinen.
Artikeln översattes av Sonja Fredriksson.

Läs också