"Voi teitä Ylilaudan sankareita", aloitti poliisi Marko Forss päivityksensä lauantaina 5.11.2011. Joku oli juuri julkaissut Ylilauta.org-sivustolla tiedoston, jossa oli 16 000 suomalaisen henkilötietoja. Nimiä, osoitteita, puhelinnumeroita, henkilötunnuksia.
Hetudump.txt-nimisen tiedoston tiedot olivat muun muassa Itä-Suomen yliopiston ja Työtehoseuran järjestelmistä. Opiskelijoita neuvottiin olemaan huolestumatta liikaa. Oikeasti tuskin kukaan yliopistossa tai muuallakaan tiesi, mitä kaikkea henkilötietojen vuotamisesta voisi seurata.
– Ajattelin vain että semmoista sattuu, sanoo kuopiolainen Jari, yksi tietovuodon uhreista.
Pian tietovuodon jälkeen nettiin ilmestyi palveluita, joista kuka tahansa pystyi tarkistamaan, oliko hänen tietonsa vuodettu. Sitä kautta Jari sai tietää olevansa listalla.
Ymmärrä mikä uutiskynnys nyt tässä ylitty, sossutunnukset? Ne voi generoida syntymäajan ja sukupuolen mukaan.
Kommentti netin keskustelupalstalta 2011
Seuraavalla viikolla KRP kertoi, että vuodettuja henkilötunnuksia oli käytetty rikoksiin. Ne olivat kuitenkin vain yksittäisiä tapauksia. Osa tietovuodon uhreista haki varmuuden vuoksi omaehtoista luottokieltoa, jotta tietoja ei pystyisi käyttämään ainakaan isompiin petoksiin. Osa yritti jopa saada uuden henkilötunnuksen, mutta sellaista ei myönnetty kuin viimeisenä mahdollisena keinona.
Jari ei tehnyt mitään – hän ei missään vaiheessa tosissaan ajatellut, että tapahtuneesta aiheutuisi jotakin harmia. Meni vuosi, meni toinenkin, ja Jari oli ehtinyt unohtaa koko jutun.
Sitten puhelin soi ensimmäisen kerran.
Kesällä 2016 verkkokaupan myyjä soitti ja kertoi, että Jarin nimissä oli tilattu Macbook Pro -tietokone ja kolme kallista iPhonea. Tavaraa oli yhteensä yli 12 000 euron edestä. Myyjä halusi varmistaa, oliko Jari varmasti tilannut tavarat.
– Sanoin että en ole, nyt joku yrittää ostaa minun nimissä tavaraa.
Jari kävi poliisiasemalla kertomassa tapahtuneesta, mutta jätti lopulta rikosilmoituksen tekemättä. Poliisi, jonka kanssa Jari oli asioinut, ei ollut ottanut kertomusta todesta.
Se on lähes täydellinen rikos. Poliisi on pari potkua jäljessä – vähintään.
Hannu Kortelainen
Samanlaisesta suhtautumisesta ovat kertoneet jotkut muutkin identiteettivarkauden kohteeksi joutuneet. Heistä on tuntunut siltä kuin he olisivat itse syytettyjä verkkokaupan, pankin tai jopa poliisin kanssa asioidessaan.
– Onhan se aika omituista joutua vakuuttelemaan, että et ole tehnyt mitään sellaista, mitä paperilla lukee. Toisaalta, mistä poliisi tietää, että minä en ole se valehtelija tässä? Jari miettii.
Identiteettivarkaus tarkoittaa toisen ihmisen henkilötietojen käyttöä luvatta. Se on rikos, johon viranomaisilla ei ollut juuri tuntumaa vuoden 2011 tietovuodon aikaan: rikoslakiin identiteettivarkaudet kirjattiin vasta vuonna 2015.
Tänä päivänä sanotaan, että ne ovat yleisempiä kuin polkupyörävarkaudet.
Kun Jari oli saanut ensimmäisen puhelun verkkokaupasta, hän sai pian toisenkin. Silloin hän kävi tekemässä rikosilmoituksen ja haki myös itselleen luottokieltoa, että luvattomat ostokset loppuisivat.
Vielä seuraavana päivänä Jari sai postissa laskun ajoneuvoverosta ja vakuutusyhtiöltä asiakirjat liikennevakuutuksesta. Tietokoneet eivät olleet riittäneet – varas oli ostanut melkein kymmenen tuhannen euron Audin Jarin nimiin.
Uhreja oli muitakin. Poliisi ei koskaan kertonut uhreille, mitä kautta heidän henkilötietonsa olivat päätyneet rikollisten käsiin. Ehkä poliisi ei tiennyt tai sillä ei ollut tutkinnan kannalta merkitystä. Vastaus selvisi Jarille vasta vuosi tapahtuneen jälkeen.
Onhan se aika omituista joutua vakuuttelemaan, että et ole tehnyt mitään sellaista, mitä paperilla lukee.
"Jari"
Pyysimme tätä juttua varten käräjäoikeuksista lähes 30 tuomiota viime vuonna sattuneista tapauksista, joissa identiteettivarkaus oli rikosnimikkeenä. Sen jälkeen selvitimme, mitä kautta rikolliset olivat päässeet käsiksi uhriensa tietoihin. Erityisesti meitä kiinnosti, olivatko uhrit mukana vuoden 2011 tietovuodossa eli Hetudump.txt-tiedostossa.
Selvisi, että vuosia sitten nettiin vuodettujen tietojen käyttäminen identiteettivarkauksiin on edelleen yleistä. Suomessa tehtiin viime vuonna kymmenien rikosten sarjoja, joissa jokainen uhri oli vuodettujen listalla. Se ei ole sattumaa, vahvistaa paljon identiteettivarkauksia tutkinut rikoskomisario Hannu Kortelainen Helsingin poliisista. Hänen mukaansa selkeä enemmistö tänäkin päivänä rikollisten käyttämistä varastetuista henkilötiedoista on saatu netistä – ja varsinkin Hetudumpista.
Vuosia vanha tietovuoto, jonka uhreja oli neuvottu olemaan huolestumatta, oli haitallisempi kuin koskaan aiemmin.
Vuoden 2011 jälkeen verkkokauppojen määrä on moninkertaistunut. Joukossa on myyjiä, jotka eivät varmista asiakkaan henkilöllisyyttä tarpeeksi tarkasti. Nimellä, henkilötunnuksella ja osoitteella pääsee pitkälle.
Hetudumppi on rikollisille erityisen hyödyllinen, koska yksikään toinen tietovuoto ei ole tuonut saataville niin laajaa kokoelmaa henkilötunnuksia yhdistettynä osoitteisiin ja muihin tietoihin.
Kun tietovuoto aikanaan tapahtui, tiedosto ehti olla netissä vain muutaman tunnin. Mutta se mikä nettiin kerran menee, sinne myös jää. Moni ehti ladata tiedoston koneelleen ennen kuin se hävisi palvelimelta.
– Monesti saadaan ilmoitus uudesta tietovuodosta, mutta sitten paljastuukin, että sama vanha vuoto siellä on ehkä vähän eri muodossa, kertoo tietoturva-asiantuntija Markus Lintula Viestintäviraston Kyberturvallisuuskeskuksesta.
Kyberturvallisuuskeskus on pitänyt huolen, että Hetudump.txt:n ei pitäisi löytyä pelkällä googlettamisella. Sen sijaan tiedosto oli tätäkin juttua kirjoittaessa helposti löydettävissä anonyymin Tor-verkon puolelta.
Pitää olla hölmö, joka maksaa vanhojen tietovuotojen datasta. Sitä saa muutenkin.
Hannu Kortelainen
Tor-verkko perustuu siihen, ettei sen käyttäjää voi tunnistaa. Tämän vuoksi sitä käytetään paitsi laillisiin, myös laittomiin tarkoituksiin. Yle on aiemmin raportoinut muun muassa laajasta huumekaupasta Tor-verkossa.
Myös identiteettivarkaudet kukkivat pimeän verkon uumenissa. Sieltä löytää nimiä, henkilötunnuksia, osoitteita tai käyttäjätunnuksia ja salasanoja. Siellä myös etsitään ja tarjotaan työtä ja töiden hedelmiä.
– Voin esittää toista henkilöä, avata pankkitilejä, osamaksusopimuksia, mitä vaan. Oikeastaan mitä tahansa, josta saan nopeasti rahaa, eräs nainen kirjoittaa Tor-verkon Sipulikanava-keskustelupalstalla.
Toinen keskustelija markkinoi ilmeisesti varastetusta lompakosta saatua "mahdollisuuksien korttipinoa": ajokorttia, asevastaavan korttia, sotilaspassia ja Kela-korttia. Poliisin tiedossa on tapaus, jossa graafikon koulutuksen saanut mies tehtaili väärennettyjä ajokortteja tilauksesta. Ajokortista voi saada pimeillä markkinoilla 500–1 000 euroa.
– Mutta pitää olla hölmö, joka maksaa vanhojen tietovuotojen datasta. Sitä saa muutenkin, sanoo rikoskomisario Hannu Kortelainen.
Myynnissä henkkareita, korkealaatuiset samplet.
Kommentti Tor-verkon Sipulikanavalla
Tätä juttua kirjoittaessa tuli tieto, että Tulli ja poliisi ovat sulkeneet Sipulikanavan. Se lienee kuitenkin vain ohimenevä häiriö – vastaavia kohtaamispaikkoja on suljettu Tor-verkossa aiemminkin.
Kortelaisen mukaan on tavallista, että identiteettivarkaudesta kiinni jääneeltä löytyvät Hetudump.txt:n tiedot joko sellaisenaan tai osatiedostona, johon on lajiteltu sopivia uhreja omalta alueelta.
Ja tässä kuvaan astuu Patrik, huumekoukussa ollut pikkurikollinen.
Patrik oli ollut ennenkin vaikeuksissa lain kanssa. Rikosrekisterissä oli merkintöjä huumerikoksista, rattijuopumuksista ja varkauksista. Hän oli puhunut siitä, miten päihteet olivat pakottaneet valehtelemaan ja särkeneet välit läheisiin. Luottamus piti rakentaa uudelleen.
Mutta sitten keväällä 2016 tuli eteen täydelliseltä tuntuva rikos. Huumepiireissä oli yleistynyt tapa ostaa tavaraa jonkun muun henkilötiedoilla ja myydä se eteenpäin. Jos tunsi oikeat ihmiset, tavarat ehti myydä eteenpäin ennen kuin uhri tajusi mitään.
Patrik tiesi, että henkilötiedoilla voisi tehdä muutakin. Hän osasi väärentää henkilökortin, jossa oli hänen oma kuvansa, mutta jonkun muun henkilötiedot. Sellaisella pystyi tekemään melkein mitä vain, jos pokka kesti. Joku oli kävellyt väärän ajokortin kanssa teleoperaattorin myymälään ja ostanut sieltä osamaksulla kalliin puhelimen, sitten jatkanut seuraavaan ja sieltä seuraavaan puhelinkauppaan, aina yhtä hyvin tuloksin.
Nyt olisi tarjolla miehelle mahdollisuuksien korttipino: ajokortti, B- ja C-luvat voimassa 2059, asevastaavan kortti...
Kommentti Tor-verkon Sipulikanavalla
Patrik sai käsiinsä listan, jossa oli tuhansittain nimiä, henkilötunnuksia, osoitteita ja puhelinnumeroita. Se oli Hetudump.txt. Lista oli jo vuosia vanha, mutta edelleen ajankohtainen. Röyhkeimmät varkaat saattoivat soittaa uhrilleen, esittäytyä teleoperaattorin myyjänä ja varmistaa, että osoitetieto piti vielä paikkansa.
Patrik ryhtyi tehtailemaan varastetuilla henkilötiedoilla väärennettyjä henkilökortteja, joissa oli uhrin tiedot ja hänen oma kuvansa. Hän valitsi kohteiksi suunnilleen itsensä ikäisiä miehiä, jotta uhrin syntymäaika ja Patrikin ulkonäkö sopivat toisiinsa.
Kuopiolainen Jari sopi tähän tarkoitukseen erinomaisesti.
Patrik osti tai yritti ostaa uhrien nimissä kuvauskoptereita, puhelimia, tietokoneita ja jopa autoja. Hän kävi kolmessa eri autokaupassa ja sai jokaisesta mukaansa osamaksulla lähes 10 000 euron autot kolmen eri uhrin nimissä. Myyjät eivät epäilleet mitään – tai jos epäilivät, eivät ainakaan pysäyttäneet häntä. Uhrien osaksi jäi ihmetellä, miksi posti toi heille ajoneuvoverolappuja ja vakuutuspapereita.
Jarin nimissä Patrik oli tehnyt jopa työmaakortin. Siinä sanottiin, että Jari oli töissä rakennusliikkeessä. Sen piti antaa uskottavuutta varkaalle, kun tämä haki lainaa tai teki osamaksusopimuksia.
Poliisin mukaan identiteettivarkaus on usein osa rikossarjaa, jossa on mukana ainakin kaksi ihmistä. Tavallisesti apuna on bulvaani eli haamuostaja. Hän käy noutamassa netistä tilatun tavaran väärennetyn valtakirjan turvin. Näin varsinainen tilaaja pysyy katveessa.
– Käyt baarin kulmilta värväämässä tyypin tai pyydät puolituttua hakemaan paketin, niin ei oma naama pala, kertoo rikoskomisario Hannu Kortelainen Helsingin poliisista.
"Naaman palamisella" Kortelainen tarkoittaa valvontakameraan jäämistä. Hänen mukaansa haamuostaja voi näyttäytyä valvontakamerassa surutta, sillä identiteettivarkaan puolesta yksittäisen paketin hakeneelle ei välttämättä tule seurauksia. Keväällä tutkinnassa oli parinsadan rikoksen vyyhti, jossa tekijäkaksikko jäi kiinni vasta, kun tuttavapiiristä loppuivat haamuostajat ja päätekijät joutuivat hakemaan tilauksensa itse.
Tuomiot eivät ole missään kohtuullisessa suhteessa siihen, mitä uhrin kärsimykset saattavat olla.
"Kalle"
Joskus bulvaanin ja tilaajan välissä käytetään vielä kolmatta henkilöä, kilpimiestä. Hänen tehtävänään on muuttaa tilaus rahaksi. Näin haamuostaja, jonka "naama palaa" valvontakamerassa, ei välttämättä edes tiedä, kuka on varsinainen tilaaja. Mitä ammattimaisempaa rikollisuus on, sitä enemmän siinä on mukana tekijöitä.
Joskus ketjuun liittyy myös trokari, jolla on tiedossa markkinat petoksella hankituille tavaroille. Esimerkiksi varastetut puhelimet on myytävä ulkomailla, koska kotimaassa operaattori voi estää niiden käytön IMEI-koodilla.
Kaikki tämä saattaa tapahtua vain muutamassa päivässä. Siinä vaiheessa kun kuopiolainen Jari sai tietää joutuneensa identiteettivarkauden uhriksi, varas oli ehtinyt ostaa hänen ja muiden uhrien nimissä kymmenien tuhansien eurojen edestä tavaraa.
– Se on lähes täydellinen rikos. Poliisi on pari potkua jäljessä – vähintään, rikoskomisario Kortelainen myöntää.
Patrik jatkoi rikossarjaansa kolme viikkoa. Sitten hänet pysäytettiin ratista huumeissa. Patrik näytti poliisille helsinkiläismiehen nimissä tehtyä väärennettyä ajokorttia, olihan konsti toiminut aiemminkin. Tällä kertaa vilppi oli kuitenkin jo paljastettu poliisille pankista, josta Patrik oli yrittänyt ottaa lainaa uhrinsa nimissä. Autosta löytyi lisää lainapapereita ja kotoa petoksella tilattuja tavaroita. Peli oli pelattu.
Kun tekijän nimi paljastui, Jari kävi katsomassa netistä, minkä näköinen varas oli. Patrik sai yhteensä 28 rikoksesta vuoden ja kolmen kuukauden vankeusrangaistuksen.
– Tuomiot eivät ole missään kohtuullisessa suhteessa siihen, mitä uhrin kärsimykset saattavat olla, yksi uhreista, eteläsuomalainen Kalle sanoo.
Identiteettivarkaudet eivät lopu siihen, että tekijät saadaan kiinni. Patrik on tästä surullinen esimerkki: hän oli saanut tuomion melkein samanlaisesta rikossarjasta kesäkuussa. Heinäkuun alussa hän oli jo aloittanut uuden. Oikeudelle hän kertoi tekojen johtuneen huumeriippuvuudesta.
Vääriin käsiin menneiden henkilötunnusten käyttö jatkuu niin kauan kuin henkilötunnus on voimassa.
Hannu Kortelainen
Kuka on tarinan voittaja, kuka häviäjä?
Uhrit häviävät. Heidän ei tarvitse maksaa identiteettivarkaan tilauksia, mutta jo perättömien laskujen kanssa painiminen on ahdistavaa, siitä ajatuksesta puhumattakaan, että joku rikollinen tuolla jossain esiintyy sinuna.
Huolesta ja stressistä ei korvauksia makseta, mutta paperisodasta joku uhri sai oikeudessa pienet korvaukset. Jari ei sellaisia edes hakenut. Jos korvauksia maksetaan, ne jäävät yleensä valtion vahingoksi. Moni identiteettivarkauksien tekijä on vailla laillisia tuloja elävä huumeongelmainen, jolta on turha odottaa saavansa mitään.
Verkkokaupat ja niiden takana olevat rahoitusyhtiöt häviävät. Puhelinoperaattorit häviävät.
– Lopulta kaikki me, jotka maksamme tuotteita rehellisesti, häviämme, rikoskomisario Hannu Kortelainen uumoilee.
Hän sanoo yrittäneensä saada verkkokauppoja ymmärtämään, että identiteettivarkauksien tekeminen on nyt aivan liian helppoa.
Poliisin mielestä identiteettivarkaudet saataisiin tyrehtymään pienillä muutoksella. Kaikki verkkokaupat eivät ole kuitenkaan halunneet tehdä mitään.
– Tässä on vähän samaa kuin 1990-luvun pankkikriisissä. Lainaa annettiin kaksin käsin eikä ollut väliä, maksaako joku. Verkkokaupassa on vähän sama: kunhan myynti käy, pienet vahingot eivät haittaa mitään.
Yksi konkreettinen esimerkki on henkilötunnus. Se on tarkoitettu ihmisten yksilöimiseen – ei henkilöllisyyden varmentamiseen. On kuitenkin edelleen verkkokauppoja, joissa sitä voi käyttää tunnistautumiseen. He voisivat vaatia asiakkaalta vaikkapa pankkitunnistautumista.
Munkaan mielestäni listasta ei ole erityistä haittaa.
Kommentti netin keskustelupalstalta 2011
Hakkeri- ja aktivistiryhmä Anonymous Finland ilmoitti jo vuonna 2011 olevansa Hetudump.txt-tietovuodon taustalla. Ketään yksittäistä tekijää ei kuitenkaan koskaan saatu vastuuseen. Keskusrikospoliisilla oli epäilynsä, mutta näyttöä ei saatu tarpeeksi ja syyteoikeus ehti vanheta.
Tietovuotoa ei olisi tarvinnut tapahtua. Palvelimilla oli haavoittuvuuksia, joihin olisi ollut olemassa päivityksiä. Hakkeri ehti hyödyntää tietoturva-aukot ennen kuin ylläpitäjä paikkasi ne. Sen jälkeen yhtä vakavia tietovuotoja ei ole tapahtunut.
Rikollisten lataamien Hetudump.txt-kopioiden avulla tehdään päivittäin identiteettivarkauksia. Jari ja Kalle ovat hakeneet itselleen luottokieltoa, mutta 16 000 nimen listalla riittää kohteita ilman heitäkin. Joukossa on jopa uhreja, jotka ovat hakeneet itselleen kahden vuoden määräaikaisen luottokiellon ja joutuneet uhriksi heti sen päätyttyä. Listasta riittää iloa rikollisille jopa vuosikymmeniksi, sillä sen tiedot eivät vanhene helpolla.
– Vääriin käsiin menneiden henkilötunnusten käyttö jatkuu niin kauan kuin henkilötunnus on voimassa, rikoskomisario Hannu Kortelainen toteaa.
Se tarkoittaa käytännössä loppuelämää – ellei sitten päätetä vaihtaa kaikkien henkilötunnuksia. Aiemmin syksyllä Suomessa aloitti työryhmä, joka miettii henkilötunnuksien uusimista. On mahdollista, että nykyisetkin henkilötunnukset menevät uusiksi. Identiteettivarkaudet eivät ole työryhmän perustamisen syynä, mutta jos hetut muuttuvat, se vaikeuttaa identiteettivarkaiden työtä.
Silloin koko Hetudump.txt muuttuisi kerralla käyttökelvottomaksi. Uhrit olisi etsittävä muualta.
Jarin, Kallen ja Patrikin nimet on muutettu. Lähteenä on käytetty Kuopion, Helsingin ja Vantaan käräjäoikeuksista sekä Helsingin hovioikeudesta saatuja tuomiolauselmia, joissa yhtenä nimikkeenä on ollut identiteettivarkaus. Patrikin tarina on rakennettu hänen saamistaan oikeustuomioista. Lisäksi j__uttua varten on haastateltu kahta muuta identiteettivarkauden uhria._ Viranomaisilla ei ole enää nettipalvelua, joista pystyisi tarkistamaan, onko oma nimi hetudump.txt-tiedostossa. Sellaista palvelua tarjoaa tällä hetkellä afterdawn.com-sivusto._
Lue myös: Rikosuhripäivystyksen ohjeita identiteettivarkauden uhrille
Juttua tarkennettu 6.11: Tarkennettu kohtaa, jossa puhutaan Hetudumppi-tiedoston löytymisestä pelkällä googlettamisella.