Tiistai 17.7.2018

Varoitus erityisen vakavasta tietomurrosta Suomessa – 130 000 käyttäjän tiedot viety

Jaa artikkeli:
Luotu: 
9.4.2018 16:35
  • Kuva: All Over Press / EPA
    Kuva
    Noin 130 000 käyttäjän tiedot ovat paljastuneet Helsingin Uusyrityskeskuksen ylläpitämään Liiketoimintasuunnitelma.com-palveluun kohdistuneessa tietomurrossa. Aihekuvitus.
|

Viestintäviraston alainen kyberturvallisuuskeskus varoittaa erityisen vakavasta tietomurrosta, joka on laajuudeltaan yksi Suomen suurimmista. Murrossa on paljastunut noin 130 000 käyttäjän tunnukset ja salasanat, Mikrobitti kertoo.

Murron kohde on Helsingin Uusyrityskeskuksen ylläpitämä Liiketoimintasuunnitelma.com-palvelu. Kaikille avoimessa palvelussa on noin 130 000 käyttäjätunnusta ja salasanaa, jotka ovat vuotaneet vääriin käsiin. On mahdollista, että samalla on paljastunut muitakin luottamuksellisia tietoja. Uusyrityskeskus ja Viestintäviraston kyberturvallisuuskeskus kertoivat murrosta viime perjantaina.

Erityisen vakavan murrosta tekee se, että palvelussa säilytettiin käyttäjien salasanat selväkielisenä. Koska salasanat ovat selväkielisiä, salasanat tietävä taho voi käyttää niitä saman tien, Kyberturvallisuuskeskus varoittaa. Vaara koskee niitä käyttäjiä, jotka ovat käyttäneet samaa käyttäjätunnuksen eli useimmiten sähköpostiosoitteen ja salasanan yhdistelmää myös muissa palveluissa.

Tietomurron kohteena ollut palvelu on tarkoitettu liiketoimintasuunnitelman luomiseen, ja vuotaneiden tietojen joukossa saattaa olla myös liiketoimintasuunnitelmien yksityiskohtia. Tapauksesta on tehty rikosilmoitus Helsingin poliisille, ja tapauksen tutkinta on kesken.

Lue myös: Uudet peltipoliisit narauttavat myös jarruttelijat – Nopeusmittaus mullistuu

Yleensä käyttäjien salasanoja ei säilytetä palvelimella selväkielisenä. Normaali tapa salasanojen varmistamiseen on muodostaa niistä kryptografinen tiiviste (hash). Salasana voidaan purkaa myös tiivisteestä, mutta se vaatisi hyökkääjältä merkittävää lisävaivaa etenkin pidempien salasanojen tapauksessa.

Kyberturvallisuuskeskuksen tiedossa ei ole, että tiedot olisivat toistaiseksi netissä vapaasti jaettavana. Rikolliset ovat kuitenkin todennäköisesti jakaneet tietoja keskenään.

Tietomurto havaittiin alun perin 3. huhtikuuta Viestintäviraston Kyberturvallisuuskeskuksen normaalissa tarkkailussa.

– Olemme erittäin pahoillamme kaikkien niiden henkilöiden puolesta, jotka ovat joutuneet rikoksen uhriksi, ja joille tästä tapauksesta voi koitua henkistä tai taloudellista haittaa, sanoo Helsingin Uusyrityskeskuksen hallituksen puheenjohtaja Jarmo Hyökyvaara tiedotteessa.

– Palvelun ylläpidosta ja tietoturvasta vastasi alihankkijamme, joka on pitkäaikainen kumppanimme. Valitettavasti palvelun tietoturva ei ole ollut riittävä estääkseen tämän tapaisen hyökkäyksen.

Muut asiasanat: 
Jaa artikkeli:

Kommentit

Heikki Paananen

Pitäisiköhän lainsäädäntöä kehittää siihen suuntaan, että järjestelmätoimittajalta vaaditaan jonkinlaista turvallisuussertifikaattia? Byrokratiaahan se lisää, mutta nykyään näköjään yleiseen järjenkäyttöön ei voi enää luottaa, vaan kaikki pitää kirjoittaa säännöiksi ja määräyksiksi. Toki syynä voi olla sekin, ettei yksinkertaisesti osata.

Tietojärjestelmien ostajille voisi tuottaa myös selkeän tarkastuslistan, joka käydään läpi yhdessä toimittajan kanssa. Sillä karsittaisiin pois kaikkein alkeellisimmat virheet, kuten salasanojen hashaamisen "unohtaminen".