1. yle.fi
  2. Uutiset

Ylen selvitys: Kiinalaisen "urkintalistan" jäljet johtavat Yhdysvaltoihin, mukana satoja suomalaisnimiä – Kiinan armeijaan liitetty datayhtiö käytti Dow Jonesin keräämiä tietoja

Ylen selvityksestä käy ilmi, että kiinalaisvuodossa paljastuneet suomalaisnimet vastaavat amerikkalaisen tietokannan tietoja.

tietovuoto
Kuvarevinnäinen kiinankielisestä dokumentista.
Zhenhua Data -yhtiön dokumentissa kerrotaan tietokannasta, jossa on yhteensä 2,4 miljoonaa nimeä. Yle, Kuvankäsittely: Harri Vähäkangas / Yle

Kiinalaisessa tietovuodossa paljastuneet suomalaiset nimet ovat peräisin amerikkalaisesta lähteestä. Samoin vastaava tanskalainen nimilista on päätynyt kiinalaisvuotoon amerikkalaisten tekemän tietokannan pohjalta.

Asia käy ilmi selvityksestä, jossa Yle on jäljittänyt kiinalaisen datayhtiön käyttämät nimet amerikkalaisen taloustietoyhtiö Dow Jonesin laatimaan tietokantaan.

Kiinalainen datayhtiö on siten rakentanut miljoonien ihmisten tietoja käsittävän niin sanotun urkintalistansa ainakin osittain alun perin amerikkalaisyhtiön keräämän suuren tietomassan perusteella.

Mistä on kyse?

  • Australialainen tietoturvayhtiö Internet 2.0 julkisti syyskuun puolivälissä, että kiinalainen datayhtiö Zhenhua Data oli kerännyt tietoja 2,4 miljoonasta henkilöstä.
  • Tietovuodon australialaisille antoi amerikkalaisprofessori Christopher Balding. Hän on kertonut saaneensa tietokannan kiinalaislähteiltä.
  • Internet 2.0 on kertonut palauttanensa tietokannasta 250 000 henkilön nimet ja heihin liittyyviä muita tietoja. Henkilöt ovat ympäri maailmaa. Joukossa on 800 suomalaista.
  • Ylen selvitys osoittaa, että suomalaisia ja tanskalaisia koskeva aineisto on pääosin kopioitu amerikkalaisesta tietokannasta.

Useat tiedotusvälineet uutisoivat viime viikolla eri maissa, että Kiinan tiedustelua ja armeijaa lähellä oleva yhtiö Zhenhua Data oli rakentanut 2,4 miljoonan ihmisen tietoja käsittelevän tietokannan. Kiinalaisyhtiö oli antanut sille nimeksi OKIDB (Oversea Key Information Database).

Osassa uutisia tulkittiin, että tietokanta kertoo Kiinan kyvystä tunnistaa ja seurata yhteiskunnan avainhenkilöitä eri puolilla maailmaa.

Esimerkiksi Australian yleisradioyhtiön ABC Newsin (siirryt toiseen palveluun) haastattelema asiantuntija kuvasi Zhenhuan vuotoa kuin "Cambridge Analyticaksi steroideilla ryyditettynä". ABC News arvioi vuodon viittaavan maailmanlaajuisen operaatioon, jossa julkisesta datasta on koostettu yksityishenkilöiden profiileja mahdollisesti haitallista käyttöä varten.

Tietokannasta löytyy muun muassa kymmenien tuhansien Yhdysvaltain, Britannian ja Australian kansalaisten tietoja. Nimilistoilta löytyy vaikutusvaltaisia ihmisiä kuten Britannian ja Australian pääministerit Boris Johnson ja Scott Morrison sekä Britannian kuningashuoneen jäseniä. Listoilla on laajasti tietoja myös vaikuttajien perheenjäsenistä ja muusta lähipiiristä.

Yle sai viime viikolla nähtäväksi listalla olevat suomalaiset. Heidät on jaoteltu kolmeen eri ryhmään.

Lue lisää: Tietovuoto: Kiinalaisyrityksen urkintalistalla on 794 suomalaista, joukossa poliitikkoja ja heidän lähipiiriään – Katso, miten suomalaiset on jaoteltu

Yle on pystynyt juuri ryhmäjaottelun ja muun tietosisällön perusteella jäljittämään tietovuodon nimet Dow Jonesin omistamaan tietokantaan.

Amerikkalaisessa tietokannassa suomalaiset on jaettu täysin samalla tavalla kuin kiinalaisessa tietovuotomateriaalissa.

Kiinalaisaineistosta löytyy nimiä seuraavista kategorioista:

Suomalaisia vaikuttajia (PEP, Politically Exposed Persons) on taulukossa 250. Joukossa on nimiä politiikan huipulta kuten nykyisiä ministereitä sekä muita yhteiskunnallisia vaikuttajia.

Ryhmässä erityisen kiinnostuksen kohteet (SIP, Special Interest Person) on 21 nimeä. Heistä monet ovat tunnettuja talous- ja huumerikollisia.

Kategoriassa lähipiiri (RCA, Relative or Close Associate) on eniten suomalaisten nimiä, 523. Tässä ryhmässä on PEP- sekä SIP-ryhmään kuuluvien henkilöiden sukulaisia ja muuta lähipiiriä.

Tilastografiikka suomalaisnimien luokittelusta
Harri Vähäkangas / Yle

Yle on pystynyt varmistamaan, että Zhenhua-aineiston suomalaisnimet löytyvät yhtä poikkeusta lukuun ottamatta myös Dow Jonesin tietokannasta.

Kiinalaisella listalla mainitaan suomalaisnimi, jota ei ole Dow Jonesiin laatimassa tietokannassa.

Poikkeus voi selittyä sillä, että kiinalaisessa aineistossa on hyödynnetty vanhaa kopiota Dow Jonesin tietokannasta.

Kiinalaisten käyttämät tiedot suomalaisista on todennäköisesti kopioitu loppuvuonna 2017. Tähän viittaavat tietokannan aikaleimat ja aineistoon päivitetyt linkit.

Myös Tanskan nimilistat samat

Yle on tutustunut myös tietovuodossa paljastettuun Tanskan listaan, josta on aikaisemmin uutisoinut Tanskan yleisradioyhtiö DR. (siirryt toiseen palveluun)

Tanskalaisnimet löytyvät suomalaisnimien tapaan sekä kiinalaiselta että amerikkalaiselta listalta.

Yle vertasi kiinalaisessa tietovuodossa olleita 752 tanskalaista nimeä Dow Jonesin tietokantaan, ja nimet on ryhmitelty samalla tavalla kolmeen eri ryhmään molemmilla listoilla.

Vain kahta tanskalaisnimeä ei löydy Dow Jonesin tietokannasta.

Näin Ylen selvitys tehtiin

  • Yle on vertaillut näkemiään Zhenhua-vuodon tietokantataulukkoja saatavilla olevaan tietoon Dow Jonesin riskienarvioinnissa käytetyistä tietokannoista.
  • Selvitys on tehty Suomen ja Tanskan nimilistojen osalta. Yle ei ole nähnyt vuodettua aineistoa kokonaisuudessaan.
  • Yle on saanut pääsyn Dow Jonesin tietokanta-aineistoon nimettömän lähteen avulla.
  • Yle tarkisti nimihaun avulla, että kaikki nimet muutamaa poikkeusta lukuun ottamatta löytyvät sekä kiinalaisesta tietovuotoaineistosta että Dow Jones -yhtiön laatimasta tietokannasta.
  • On mahdollista, että tietovuodon Kiinasta saanut australialainen Internet 2.0 -yhtiö on poistanut tietokantataulukoista osan tiedoista ennen kuin se on lähettänyt aineiston eri medioiden kuten Ylen nähtäväksi.
  • Dow Jonesin antamat tiedot Risk & Compliance -tietokannasta (aikaisemmin Watchlist) täsmäävät hyvin vuodettuun aineistoon. Tietorakenteissa on paljon yhtäläisyyksiä.
  • Yhtäläisten nimilistojen ja ryhmittelyn lisäksi aineistossa on useita muita tietoja, jotka löytyvät myös Dow Jones -aineistosta. Näitä ovat muun muassa linkit netissä oleviin kuviinsekä lyhyet kuvaukset esimerkiksi henkilön tekemistä rikoksista tai yhteyksistä eri yrityksiin.
  • Kiinalaisainestossa on sekä Suomen että Tanskan päälistojen lisäksi tietoja kuudesta suomalaisesta ja kuudesta tanskalaisesta henkilöstä erillisissä taulukoissa. Näitä nimiä ei ole tutkittu tarkemmin. Tiedoissa esiintyy lähdeviittauksia Crunchbase-yritystietokantaan sekä avoimeen verkkotietokantaan Wikidataan.

Asiantuntija: "Kuulostaa siltä, että on samaa tavaraa"

Kyberturvallisuuden asiantuntija Mikko Niemelä ei pidä ollenkaan yllättävänä, että Zhenhua-tietovuoto olisi peräisin toisesta, Yhdysvaltoihin johtavasta tietovuodosta.

– Jos lista on identtinen, niin usein silloin on näin. Kyllä se kuulostaa siltä, että se on samaa tavaraa, Niemelä sanoo. Hän on Singaporessa toimivan tietoturvayhtiön Cyber Intelligence Housen toimitusjohtaja.

Niemelän mukaan on myös mahdollista, että Zhenhua-datayhtiö on käyttänyt Dow Jonesin aineistoa pohjatietona, jota kiinalaiset ovat myöhemmin rikastaneet lisäämällä aineistoon muita tietolähteitä.

Kuvassa vasemmalla salossa liehuu lippu, jossa lukee News Corporation. Sen vieressä oikealla puolella on Yhdysvaltain lippu.
News Corp -yhtiön omistama Dow Jones & Company on yhdysvaltalainen taloustietoon keskittyvä kustantamo. Se julkaisee muun muassa nimeään kantavaa osakeindeksiä sekä Wall Street Journal -sanomalehteä. Kuva vuodelta 2007.Justin Lane / EPA

Dow Jones kerää tietoja ihmisistä pankkimaailmaa varten

Miljoonien ihmisten nimet ovat päätyneet Dow Jonesin tietokantaan siksi, että amerikkalaisyhtiö kerää ja myy tietoja eteenpäin finanssimaailman toimijoille kuten pankeille.

Pankeilla on velvoite tunnistaa asiakkaansa.

Tietokannasta käytetään nimeä Dow Jones Risk & Compliance. Aikaisemmin vastaavan tietokannan nimi on ollut Dow Jones Watchlist eli tarkkailulista.

Siihen perustuvia palveluja voivat käyttää esimerkiksi pankit, kun ne tekevät riskiarvioita asiakkaistaan. Rahoituslaitokset pyrkivät estämään näillä tiedoilla rahanpesua ja muita talousrikoksia. Tietoja hyödynnetään myös talouspakotteiden noudattamisessa.

Käytännössä Dow Jones käyttää apunaan niin sanottua tiedonlouhintaa, jossa se jalostaa suuria tietomääriä useista lähteistä yksinkertaisempaan ja käyttökelpoisempaan muotoon. Tiedonhankintaprosessi on automatisoitu, mutta tietoja tarkistetaan ja päivitetään myös käsin.

Kolmen eri luokitteluryhmän lisäksi kiinalaisissa ja amerikkalaisissa listoissa on muitakin yhteneväisyyksiä.

Kiinalaisilla listoilla esiintyi muitakin termejä, joita käytetään myös Dow Jonesin tarkkailulistalla. Esimerkiksi rikollisuuteen liittyviä kategorioita kuten järjestäytynyt rikollisuus (Organised Crime), talousrikollisuus (Financial Crime) ja verorikollisuus (Tax Crime) löytyvät molemmilta listoilta.

"Vihamielinen toimija voi saada täydellisen aseen"

Dow Jonesin riskienarvioinnissa käytettäviä tietoja on vuotanut internetiin jo aikaisemmin.

Ukrainalainen kyberturvallisuustutkija Bob Diachenko paljasti helmikuussa 2019, että Dow Jonesin tietokantaan pääsi käsiksi kuka tahansa, jolla oli taitoa etsiä sitä internetin uumenista.

Diachenko kirjoitti tuolloin blogissaan (siirryt toiseen palveluun), että 2,4 miljoonan henkilön tiedot olivat löydettävissä tavallista Google-hakua erikoistuneimmilla hakukoneilla. Määrä täsmää hyvin Zhenhua-tietovuodon kokoon.

Yle pyysi Diachenkoa arvioimaan, ovatko kiinalaisen tietovuodon nimet alun perin juuri hänen paljastamasta tietovuodosta.

– Näen selviä yhtäläisyyksiä Dow Jonesin tietokantaan, jota tutkin aiemmin. Mielestäni näillä tietokannoilla on aika paljon yhteistä, kyberturvallisuuteen erikoistunutta Security Discovery -konsulttitoimistoa johtava Diachenko kertoo Ylelle videopuhelussa.

Svenska Ylen toimittaja Linus Lång haastattelee ukrainalaista kyberturvallisuusasiantuntija Bob Diachenko videoyhteyden kautta.
Bob Diachenkon konsulttitoimisto on erikoistunut tietovuotojen selvittämiseen.

Diachenko sanoo tuhonneensa tekemänsä kopion löydöksestään, koska Dow Jones -yhtiö vaati sitä. Tuolloin Dow Jonesin edustaja puolestaan korosti, (siirryt toiseen palveluun) että yhtiön keräämät tiedot olivat peräisin julkisista lähteistä.

Diachenko on samaa mieltä Dow Jonesin kanssa siitä, että tietokannan sisältämät tiedot eivät ole erityisen arkaluontoisia.

Hyvin jäsennellyt listat voivat kuitenkin olla hyödyllisiä.

Bob Diachenkolla on pitkä kokemus tietovuotojen paljastamisesta ja tutkimisesta. Hän arvioi, että vasta kun tietoja pystytään yhdistämään muihin tietovuotoihin, pahansuopainen toimija voisi kehittää niin yksityiskohtaisen kuvan kohteesta, että sitä voisi käyttää tätä vastaan.

– Ajattelisin tätä myrkkynä, jota pitää yhdistää muihin tietoihin, jotta se tehoaisi. Esimerkiksi yhdistelemällä tätä [kiinalaisen Zhenhuan] tietokantaa, vuodettuja sähköposti- tai salasanalistoja ja sosiaalisesta mediasta kerättyjä tietoja vihamielinen toimija saisi täydellisen aseen.

Yle on pyytänyt Dow Jonesilta kommenttia kiinalaisen tietovuodon ja yhtiön tietopalvelun yhteneväisyyksistä.

Dow Jones ei ole toistaiseksi kommentoinut asiaa. Sen sijaan yhtiön tiedottaja korosti, että Risk & Compliance -tietokannan tiedot kerätään avoimista lähteistä kuten sanomalehtiartikkeleista ja eri valtioiden laatimista tarkkailulistoista.

Vanhoja tietovuotoja kaupataan ja kierrätetään maasta toiseen

Kyberturvallisuuden asiantuntija Mikko Niemelä sanoo, että Zhenhuan tietovuototapauksessa on voinut käydä niin kuin monesti ennemminkin: samat aineistot kiertävät käyttäjältä toiselle.

– Tietovuodoissa tapahtuu tosi usein sitä, että vanhoja vuotoja käytetään uudelleen sellaisenaan tai sitten yhdistetään useampia tietovuotoja yhteen ja sanotaan, että tämä on uusi tietovuoto, Niemelä kuvailee.

Vuotanut data tulee usein uudelleen myyntiin pitkälläkin viiveellä. Koonteja tiedoista saattaa putkahtaa uudelleen esiin puoli vuotta tai vuosi varsinaisen tietovuodon jälkeen.

Näin on käynyt todennäköisesti myös kiinalaisessa Zhenhua-tietovuodossa, Niemelä arvioi.

– Ilmeisesti tiedonhankinnan puolella siellä on oltu vähän laiskempia ja mikä tahansa tieto tuntuu kelpaavan, eli myöskin vanhojen tietovuotojen uudelleenkäyttö sellaisenaan, Niemelä pohtii.

Ote Dow Jonesin tietokantakäyttöliittymän käyttöohjeesta
Ote Dow Jonesin tietokantakäyttöliittymän käyttöohjeesta.

Niemelä arvioi kuitenkin tutkija Diachenkon tavoin, että kiinalaiset voisivat tarvittaessa yhdistää nyt julki tulleita nimiä muihin tietomassoihin.

- Enemmänkin ne (tiedot) päätyvät osaksi isompaa rekisteriä, ja sitten kun tulee tarve tutkia jotakin henkilöä tarkemmin, niin tiedot ovat siellä rekisterissä.

Kiinalainen datayhtiö on myös koostanut tietoja, joista voisi olla hyötyä Kiinan tiedustelupalvelulle.

The Washington Postin mukaan (siirryt toiseen palveluun) yhtiö on seurannut esimerkiksi Yhdysvaltain ulkomailla sijaitsevista sotilaskohteista lähetettyjä tviittejä ja kerännyt upseerien palvelustietoja.

Listalla olevien suomalaisten osalta Mikko Niemelä pitää epätodennäköisenä, että kiinalaiset olisivat käyttäneet tietoja heitä vastaan.

– En usko, että lista aiheuttaa minkäänlaista hyökkäämistä tai muuta vaikuttamista itsessään, vaan kun tarve on, niin katsotaan, että löytyykö tietoja ja mitä tietoja löytyy.

Lisää aiheesta:

Tietovuoto: Kiinalaisyrityksen urkintalistalla on 799 suomalaista, joukossa poliitikkoja ja heidän lähipiiriään – Katso, miten suomalaiset on jaoteltu

Uusi tietovuoto paljastaa, miten Kiina hamuaa dataa Suomen avainhenkilöistä: "Julkinen salaisuus, että tarkkoja profiileita kerätään"

Kiina-tutkijat eivät tietovuodosta yllättyneet – vuodot Kiinasta lisääntyneet viime vuosina

Ylen selvitys: Kiinan kontrollijärjestelmä pesiytyi myös Suomeen – Toiminnalla on yhteys suomalaiseen puoluepolitiikkaan

Kokoomus erotti Kiinan kontrolliverkostoon sotkeutuneen kaupunginvaltuutettunsa Vantaalla – "Päätös oli yksimielinen"

Lue seuraavaksi