1. yle.fi
  2. Uutiset

Nörttipsykologi koodasi ohjelman, jolla voi tarkistaa, onko omat Vastaamon tiedot julkaistu – siinä voi olla ongelma, mutta tietoturva-asiantuntija puoltaa palvelua

Tuhannet ihmiset ovat jo käyttäneet Vastaamo-tietovuodon uhrien avuksi tarkoitettua ohjelmaa, jonka laillisuus on kuitenkin edelleen epäselvä.

kiristys
yleiskuva
Vastaamon tietovuodon uhrit voivat etsiä omia tietojaan uuden palvelun avulla.Mikko Koski / Yle

Tiistaina aamupäivään mennessä jo 16 000 Vastaamon tietomurron uhriksi joutunutta ihmistä on tarkistanut uudesta verkkopalvelusta (siirryt toiseen palveluun), onko omat tiedot jo julkaistu Tor-verkossa.

Tietovuodot.fi-palvelun kehittänyt Aapo Puskala kutsuu itseään nörtiksi. Hän on vähän alle 50-vuotias helsinkiläinen ja käy päivätöissä Nokia Softwarella käyttöliittymäsuunnittelijana. Koulutukseltaan Puskala on myös psykologi, mutta Vastaamolla hän ei ole ollut töissä eikä asiakkaana.

"Haluaisin tietää, ovatko minun tietoni siellä"

Puskala rakensi palvelun, koska hän omien sanojensa mukaan halusi auttaa ahdinkoon joutuneita ihmisiä eikä osannut olla tekemättä mitään.

– Koska olen nörtti, osaan selvittää asioita. Jos olisin itse Vastaamolla töissä tai asiakkaana, haluaisin tietää, ovatko minun tietoni siellä, Puskala sanoo.

Hän ei suosittele omien tietojen etsimistä Tor-verkosta, koska niiden löytäminen on vaikeaa ja vastaan tulee todennäköisesti kaikkea muuta huumekaupasta lapsipornoon. Itse hän kuitenkin teki niin.

– Menin Tor-verkkoon, etsin ja löysin palvelimen, jossa nämä tiedot olivat. Alun perin niitä oli sata, myöhemmin 300, kertoo Puskala.

Hän vakuuttaa, että ajatuksena ei ollut kurkkia kenenkään tietoja, vaan yksinkertaisesti kertoa ihmisille, onko heidän tietonsa julkaistu.

– Tein pienen ohjelmanpätkän, joka latasi kaikki tiedot, mutta poisti niistä kaiken muun paitsi sähköpostiosoitteet. Eli minä en edes avannut, enkä nähnyt niitä tietoja itse.

Palvelusta ei voi etsiä kenenkään toisen tietoja

Puskalan tekemän palvelun hakukenttään voi laittaa Psykoterapiakeskus Vastaamolle aikoinaan antamansa sähköpostiosoitteen, johon paluuviestinä tulee linkki, jota painamalla palvelu etsii, löytyykö vastaavaa sähköpostiosoitetta Tor-verkossa julkaistujen joukosta.

Puskala vakuuttaa, että palvelun käyttö on turvallista. Kun linkkiä on käytetty kerran, tiedot tuhoutuvat, eikä linkkiä voi käyttää toista kertaa.

– Palvelussa ei ole yhtä ainutta sähköpostiosoitetta luettavissa ja kaikki tiedot, jotka sieltä lähetetään käyttäjän sähköpostiin, tuhotaan.

Puskala selittää, että sähköpostiosoitteet, joita verrataan toisiinsa, eli palvelun käyttäjän sähköpostiosoite ja vuodetut sähköpostiosoitteet, tallentuvat kahdeksi tunniksi. Silloinkaan tiedot eivät ole luettavassa muodossa, vaan ne on “koodattu mössöksi”, kuten hän itse sanoo.

– Tiedot poistuvat kahden tunnin päästä tai silloin, kun asiakas käy katsomassa niitä. Minulle ei keräänny minkäänlaista arkistoa näistä sähköposteista, en siis kerää enkä säilytä niitä.

Aapo Puskala
Aapo Puskala koodasi tietovuodon uhreille sivuston, josta näkee, ovatko omat tiedot julkaistu.Aapo Puskala

Palvelua ei voi Puskalan mukaan käyttää väärin. Sen kautta on mahdotonta yrittää etsiä, löytyykö vuodettuja tietoja jonkun muun ihmisen nimellä ja sähköpostilla.

Jos terapiassa käynyt on vaihtanut sähköpostiosoitettaan eikä vanha sähköpostiosoite ole enää käytössä, tätä palvelua ei voi käyttää. Tällöin myöskään Vastaamon ja kiristäjän sähköpostit eivät ole tavoittaneet tietovuodon uhria.

Palveluun tehdään tänään myös tietoturvatesti, jossa ryhmä niin sanottuja hyviä hakkereita (siirryt toiseen palveluun) yrittää murtautua palveluun ja varastaa tietoja. Näin siis varmistetaan palvelun tietoturvaa.

"Tulin siihen tulokseen, että palvelun hyöty on suurempi kuin haitta"

Vaikka Aapo Puskala vakuuttaa, että hänen palvelunsa on turvallinen, sen laillisuudesta hänellä ei ole varmuutta. Puskalaa mietityttää erityisesti se, että alkuperäiset tiedot on kerätty laittomasti.

Hän sanoo pistäneensä tietosuojavaltuutetulle kyselyä mielessään olevasta palvelusta jo viime viikolla, mutta ei ole vieläkään saanut viranomaisilta vastausta. Siitä huolimatta hän halusi avata palvelun.

– Tiedot salataan palvelussa hyvin, eikä tietoa kerrota muille kuin sähköpostiosoitteen omistajalle. Tulin siihen tulokseen, että palvelun hyöty on suurempi kuin haitta ja päätin julkaista sen, hän kertoo.

Kun apulaistietosuojavaltuutettu Jari Råman kuulee, kuinka paljon käyttäjiä palvelulla on, hän sanoo, että toimisto nopeuttaa asian käsittelyä.

Hänen mukaansa ongelma ei ole se, että alkuperäiset sähköpostitiedot ovat laittomasti hankittuja, vaan se, että Aapo Puskalasta palveluntuottajana saattaa tulla henkilörekisterin pitäjä, vaikka hänen tarkoitusperänsä olisivatkin hyvät.

– Hänellähän täytyy olla ne tiedot, joihin hän vertaa näitä palvelunkäyttäjien sähköpostiosoitteita. Eli ne muodostavat henkilörekisterin, vaikka ne olisivat jollakin tavalla pseudonymisoituja, Råman arvelee.

Hän selittää, että EU:n yhteisen tietosuoja-asetuksen (siirryt toiseen palveluun) mukaan rekisterinpitäjän täytyy suunnitella ja arvioida, mitä riskejä palvelun käyttäjille saattaa tulla henkilötietojen keräämisestä. Lisäksi pitää suunnitella henkilötietojen suojaustoimenpiteet ja informoida palvelun käyttäjille, miten heidän henkilötietojaan käsitellään.

– Näin hän on tehnytkin verkkosivuillaan, mutta ei kaikilta osin, Råman sanoo.

Tietosuojavaltuutettu voi antaa ohjeita tai määrätä sulkemaan palvelun, jos palveluntarjoaja ei anna tarpeeksi tietoa sen käyttäjille palvelustaan.

F-Secure kehuu Puskalan palvelua

F-Securen tietoturvajohtaja Erka Koivunen sanoo, että Puskala tekee sivustollaan juuri sitä, mitä viranomaisten eli poliisin, Kyberturvallisuuskeskuksen ja tietosuojavaltuutetun sekä Vastaamon itsensä olisi pitänyt tehdä.

– Tässä on nyt viikko pyöritelty tätä eivätkä tietovuodon kohteeksi joutuneet ihmiset edelleenkään tiedä, mitä heidän tietojaan on julkaistu tai mitä tietoja heistä ylipäätänsä on Vastaamossa kirjattu. Viralliset ja lailliset mekanismit ovat nyt pettäneet, siitä ei ole kahta puhetta.

Koivusen mukaan Puskalan palvelu tähtää nimenomaan haittojen minimoimiseen.

– Tietoyhteiskunnan edustajana sanon, että olisi kohtuutonta, että auttaja hirtettäisiin jonkin laillisuuspykälän perusteella. Viranomaisten homma olisi ollut tällaisen palvelun julkistaminen.

Koivunen mainitsee esimerkkinä vuoden 2004 Aasian tsunamin ja sukeltajien perustaman sivuston, josta suomalaiset löysivät omaisiaan ja jonka tietosuojavaltuutettu hyväksyi.

Palvelu suljetaan, jos viranomainen vaatii

Puskala on sulkemiseen valmis, jos sitä vaaditaan.

– Kaikki palautteet ovat olleet erittäin positiivisia ja ihmiset ovat olleet hirveän helpottuneita, hän kuitenkin sanoo.

Puskala aikoo myös toistaiseksi päivittää sivuja, jos uusia tietoja julkaistaan. Hän kuitenkin muistuttaa, että tietoja saattaa olla jaossa myös paikoissa, joista hän ei ole niitä osannut etsiä. Siten palvelun antama tulos on täysin varma vain, jos se kertoo tietoja jo jaetun.

Kuuntele lisää aiheesta:

Koomikko Tomi Haustola turvautuu huumoriin Vastaamo-kiristyksen keskellä

Lue lisää aiheesta:

Tietovuodon ja kiristyksen kohteeksi joutunut kriisiviestinnän asiantuntija suomii Vastaamon viestintää: "Katastrofaalisen väärin"

Vuotaneilla henkilötiedoilla voi tehdä tilauspetoksia ja ottaa luottoa uhrin nimiin – Asiakastieto ja Vastaamo tarjoavat tietomurron uhreille maksuttomat turvapalvelut

Vastaamon potkut saanut toimitusjohtaja: "Olen syvästi pahoillani vastaamolaisten ja heidän asiakkaidensa puolesta"

Lue seuraavaksi