Vastaamoa ja sen asiakkaita kiristävä rikollinen tai rikolliset ovat jättäneet itsestään jälkiä. Paljastavatko ne aikanaan tekijän, on vielä avoin kysymys. Ainakin yhden selvältä virheeltä vaikuttavan teon kiristäjä on tehnyt.

Yle keräsi yhteen sen, mitä Psykoterapiakeskus Vastaamoon ja tuhansiin suomalaisiin kohdistuvan rikoksen tutkinnasta tiedetään.

Mitä tietomurrosta tiedetään?

Vastaamon mukaan tietomurto asiakastietokantaan on tapahtunut marraskuussa 2018. Vastaamon mukaan rikollinen tai rikolliset ovat hyödyntäneet asiakastietojärjestelmän suojauksessa olevaa puutetta.

Yhtiön mukaan järjestelmään on voitu tunkeutua myös maaliskuun 2019 puoliväliin asti. Rikosylikomisario Tero Muurman KRP:stä ei ota kantaa siihen, ilmoittiko Vastaamo epäillystä tietomurrosta heti, kun se alkoi epäillä sitä.

Muurmanin mukaan myös tätä asiaa tutkitaan KRP:ssä.

Maanantaina iltapäivällä Ilta-Sanomat uutisoi (siirryt toiseen palveluun), että Vastaamon toimitusjohtaja Ville Tapio on saanut potkut. Syynä on se, että yrityksen mukaan toimitusjohtaja oli pimittänyt tietomurron.

Pian Ilta-Sanomien uutisen jälkeen Vastaamo tiedotti asiasta. Yhtiön mukaan vaikuttaa ilmeiseltä, että toimitusjohtaja tiesi maaliskuussa 2019 tapahtuneesta toisesta tietomurrosta ja sen paljastamista puutteista tietoturvassa.

Siitä huolimatta toimitusjohtaja ei kertonut asiasta yhtiön nykyiselle hallitukselle ja pääomistajalle.

Vastaamosta oli jo ennen uutta paljastusta tehty useita tutkintapyyntöjä, joissa poliisia pyydetään selvittämään, onko yritys syyllistynyt rikokseen tietojen säilyttämisessä tai tietoturvaan liityvissä laiminlyönneissä.

Yhtiö ilmoitti maanantaina vapauttaneensa toimitusjohtaja Ville Tapion tehtävistään. Samalla yhtiön pääomistaja on käynnistänyt "oikeudellisia toimenpiteitä" Tapiota vastaan.

Tietomurtoa tutkitaan nimikkeellä törkeä tietomurto. Poliisi ei kommentoi, mistä rikoksista yhtiön edustajaa tai edustajia mahdollisesti epäillään.

Mitä tietoa on varastettu?

On mahdollista, että tietomurrossa on varastettu koko Vastaamon asiakasrekisteri marraskuusta 2018 taaksepäin. Tietomurron saalis voi olla laajempikin.

Yhtiön ilmoituksen mukaan on mahdollista, että yksittäisiä tietoja on tarkasteltu tai kopioitu marraskuun 2018 jälkeenkin.

Suurin osa varastetuista tiedoista on asiakkaiden tietoja, jotka sisältävät erittäin arkaluontoista tietoa heidän terapiastaan. Ylen tietojen mukaan myös Vastaamon henkilökunnan henkilötietoja on varastettu.

Varastetun tietokannan koko ei ole varmuudella tiedossa, mutta poliisin arvion mukaan puhutaan kymmenien tuhansien asiakkaiden tiedoista.

Mitä tietoa on julkaistu?

Varastettujen tietojen haltija on julkaissut Tor-verkossa henkilötietoja ja potilaskertomuksia sisältäviä tiedostoja ainakin hieman yli 300.

Tämän lisäksi hän on julkaissut 10 gigabitin kokoisen tar-muotoisen tiedoston. Tiedoston sisältöä ei ole vahvistettu luotettavista lähteistä. On kuitenkin vahvoja viitteitä siitä, että se sisälsi lisää asiakastietoja. On mahdollista, että tiedosto sisälsi jopa koko varastetun tietokannan.

On myös todennäköistä, että ulkopuoliset henkilöt ovat ladanneet tiedot tai osan niistä. Näitä tietoja on levitetty useissa eri paikoissa Tor-verkossa ja mahdollisesti myös muualla internetissä.

Tietojen julkaisemista tutkitaan nimikkeellä törkeä yksityiselämää loukkaava tiedon levittäminen.

Kiristäjän sivusto ei ole toiminut perjantai-iltapäivän jälkeen.

Mitä kiristyksistä tiedetään?

Tiistaina 29. syyskuuta kiristäjä lähestyi Vastaamoa. Kiristäjä vaati Vastaamolta 450 000 euron arvosta bitcoin-virtuaalivaluuttaa, jotta hän ei julkaise asiakastietoja.

Rikosylikomisario Tero Muurmanin mukaan Vastaamon edustaja otti samana päivänä "varsin pian" yhteyttä poliisiin.

Kiristäjä on julkaissut verkossa kuvia, joiden hän väittää olevan viestinvaihtoa Vastaamon toimitusjohtajan kanssa. Varhaisin viestin päiväys näissä kuvissa on 30. syyskuuta.

Vastaamon tarkentaa, että kiristäjä lähestyi kolmea yrityksen työntekijää 29. syyskuuta.

Vastaamon mukaan yhtiö teki välittömästi ilmoitukset myös kyberturvallisuuskeskukselle, Valviralle sekä tietosuojavaltuutetulle.

Lisäksi yhtiö osti palveluita kyberturvayhtiö Nixulta, jonka asiantuntijat alkoivat selvittää tietomurron teknistä toteutustapaa.

On mahdollista, että tietomurron tekijä ja kiristäjä ovat eri henkilöitä tai eri ryhmiä.

Lauantaina 24. lokakuuta Vastaamon asiakkaat alkoivat saada kiristysviestejä sähköposteihinsa. Niissä uhattiin julkaista heidän nimensä, henkilötietonsa ja luottamukselliset keskustelunsa terapeutin kanssa.

Kiristäjä ilmoitti, että tietojen julkaisun voi estää maksamalla 200 euroa 24 tunnin sisällä tai 500 euroa 48 tunnin sisällä. Poliisi on kehottanut olemaan maksamatta.

48 tunnin aikaraja umpeutuu maanantai-iltana.

Alkuperäinen kiristäjä ilmoitti Tor-verkossa olevansa myös näiden viestien takana, mutta varmuutta tästä ei ole.

Vaikka kiristäjä itse pitäisi lupauksensa tietojen poistamisesta, tiedot saattavat silti levitä. Kiristäjän julkaisemia tietoja on jo levinnyt ulkopuolisille tahoille.

Mitä poliisi tekee?

Poliisi on ollut tutkinnan etenemisestä erittäin vaitonainen. Poliisi ei kerro, onko sillä epäiltyä tai epäiltyjä. Tiedotuslinjasta ei voi päätellä, onko poliisi tekijän jäljillä vai ei.

Rikosylikomisario Tero Muurman ei kommentoi sitä, onko poliisi ollut suoraan yhteydessä kiristäjään tai kiristäjä poliisiin.

Tutkinnanjohtaja Marko Leponen kertoi sunnuntaina KRP:n tiedotustilaisuudessa, että poliisin koko osaaminen on käytössä. Käytännössä kaikki asiantuntijat on hälytetty töihin, ja he työskentelevät lähes tauotta.

Jos tekijä ei ole tehnyt virheitä, rikosta on erittäin vaikea selvittää. Toiveita rikoksen selvittämiseksi kuitenkin on, sillä salattujakin yhteyksiä käyttävä voi jättää internetiin jälkiä. Lisäksi rikosta tutkitaan myös verkon ulkopuolella.

Tekijän jäljittämiseen osallistuvat myös niin sanotut valkohattuhakkerit. Leponen kiitti heitä erikseen sunnuntain tiedotustilaisuudessa.

Ylen tietojen mukaan poliisi käyttää tutkinnassa varsin järeitä ja luoviakin keinoja. On ymmärrettävää, että poliisi ei kesken esitutkinnan julkisesti kerro menetelmistään, sillä se saattaisi varoittaa tekijää.

Mitä tekijästä tiedetään?

Tekijä kirjoitti alkuperäiset kiristysviestinsä englanniksi ja käytti monikkomuotoa kuin kyseessä olisi rikollisryhmä.

Kiristäjän käyttämä englanti ei erityisesti viittaa syntyperäiseen englannin puhujaan. Esimerkiksi pilkunkäyttö sekä tietyt sanajärjestykset ja sanonnat viittaavat pikemmin suomen kuin englannin puhujaan.

Vastaamon asiakkaille lähetetyt kiristysviestit on kirjoitettu suomeksi. Kieliasu on melko hyvää suomea, eikä viesti vaikuta ainakaan kokonaan käännöskoneen tuotokselta.

Viestin kirjoittaja on tehnyt muutaman pilkkuvirheen ja alkukirjainvirheen. Teitittelymuotoa hän ei osaa käyttää oikein, mutta samaan virheeseen syyllistyvät monet suomea äidinkielenäänkin puhuvat.

Tekijä on osannut sujuvasti toimia suomalaisilla verkkoalustoilla.

Tietoturva-asiantuntija Benjamin Särkkä on kommentoinut STT:lle, että hän uskoo tekijän olevan suomalainen tai ryhmä, johon kuuluu suomalainen.

Poliisi pitää avoinna kaikki vaihtoehdot tekijän tai tekijöiden kansallisuudesta.

Tekijän hakkerikyvyistäkään ei tiedetä paljon. Tämän arvioimiseksi pitäisi tietää, mikä on ollut Vastaamon tietoturvan taso ja suojauspuute, josta yhtiö kertoi maanantaina. Benjamin Särkän mielestä moni asia viittaa siihen, että kyseessä ei ole "maailman teknisin tyyppi".

Kiristäjän on epäilty tehneen ainakin yhden virheen. Hän julkaisi mahdollisesti jopa tuhansia asiakastietoja sisältävän tiedoston, vaikka hän oli ilmoittanut julkaisevansa sata tietoa vuorokaudessa.

Kiristäjä osallistui viestinvaihtoon Tor-verkon keskusteluketjussa lauantai-iltaan saakka. Sen jälkeen hän ei tiettävästi ole julkaissut yhtään kommenttia.

