1. yle.fi
  2. Uutiset

Yksi heistä on kiristäjä

Rakensimme Suomen rikoshistorian pahimman tietomurron tapahtumat uudelleen päivä päivältä.

Vastaamon tietomurto
Kuvassa on nimimerkin ransom_man Torilaudalle 21. lokakuuta 2020 tekemä postaus, jossa kerrotaan Vastaamoon kohdistuneesta tietomurrosta.
Yle kävi tietomurron avainhetket läpi uudelleen kahden uhrin ja Tor-verkon anonyymien keskustelijoiden näkökulmasta.Silja Viitala / Yle

Psykoterapiakeskus Vastaamon tietomurto on asianomistajien määrällä mitattuna jo nyt yksi Suomen rikoshistorian suurimmista jutuista.

Erityisen tarkasti rikoksen paljastumista seurattiin Tor-verkkoon huumekaupan ympärille syntyneellä keskustelupalstalla.

Yksi keskustelijoista oli tuntematon kiristäjä.

Keskiviikko 21.10. "Mitähän paskaa tää nyt on"

"Hello Finnish colleagues."

Neljältä aamuyöllä ilmestyy Torilaudan satunnaisten aiheiden keskustelupalstalle outo kirjoitus. Englanniksi viestivä nimimerkki ransom_man kertoo murtautuneensa suomalaisen psykoterapiakeskuksen potilastietokantaan.

Hän kirjoittaa itsestään monikossa. Niin hän tekisi varmasti, vaikka toimisi yksin. Tarinaan rikollisesta hakkerista kuuluu yleensä ryhmä.

Viestinsä päätteeksi ransom_man jättää linkin muualla Tor-verkossa olevalle sivustolleen. Sieltä löytyy ensimmäinen otos aineistosta, jossa on väitetysti kymmeniä tuhansia henkilötietoja potilaskertomuksineen.

Hän uhkaa julkaista pala palalta kaikki tiedot, ellei psykoterapiayritys Vastaamo maksa hänelle runsaan 450 000 euron edestä bitcoineja.

"Mitähän paskaa tää nyt on", ensimmäinen keskusteluketjuun eli langalle ilmestyvä ulkopuolinen vastaa. Ei olisi mitenkään ainutlaatuista, että koko juttu tietomurrosta olisi satua. Tor-verkossa toimivat keskustelupalstat ovat tunnettuja siitä, että lähes mikä tahansa sisältö käy.

Kuvassa on nimimerkin ransom_man Torilaudalle 21. lokakuuta 2020 tekemä postaus, jossa kerrotaan Vastaamoon kohdistuneesta tietomurrosta.
Rikollinen vuotaa tiedot ensiksi Torilaudalle. Se on Tor-verkossa toimiva kirjava keskustelufoorumi, joka on syntynyt huumeiden myynti-ilmoitusten ympärille.Silja Viitala / Yle

Tor on alkujaan Yhdysvaltain laivaston kehittämä tietoliikenteen salaamisen periaate. Sen avulla nettiä voi käyttää suojassa muulta maailmalta, minkä vuoksi sitä käyttävät monet yksityisyydestään ja sananvapaudestaan huolestuneet tavalliset ihmiset. Sen käyttö ei ole millään tavalla rikollista, mutta anonymiteetin vuoksi Tor-verkko on myös rikollisten suosima.

Torilauta on Tor-verkossa toimivista suomenkielisistä sivustoista tunnetuin. Se on huumeiden ja muun laittoman tavaran ilmoitustaulu, mutta se toimii myös yleisenä keskustelufoorumina.

Torilaudalla ei kuitenkaan ole paljon käyttäjiä. Ehkä siitä syystä kiristäjä tekee aamun tunteina toisenkin peliliikkeen: hän julkaisee ilmoituksensa myös avoimen verkon puolella Ylilauta-foorumilla.

Todisteeksi rikoksestaan hän julkaisee Ylilaudalle muutaman Vastaamon asiakkaan tiedot.

Kirkuvia otsikoita odotellessa.

Tuntematon Ylilauta-käyttäjä

Keskusteluketju ehtii olla julki avoimen verkon puolella reilun tunnin. Jo tuona aikana kiristäjä tarjoutuu ensimmäisen kerran myymään materiaalin eteenpäin sopivalle ostajalle.

Joku huomauttaa, miten moraalitonta on jakaa ihmisten potilastietoja. Toinen etsii vinkkejä tiedoista löytyvien henkilötunnusten rikolliseen käyttöön. Kolmas kysyy, eikö kannattaisi mieluummin kiristää arkaluontoisilla tiedoilla.

"Kirkuvia otsikoita odotellessa", neljäs kirjoittaa.

Ne ovat vasta tulossa. On keskiviikkoaamu. Vasta pari tuntia on kulunut Suomen historian pahimman tietomurron paljastumisesta.

Keskiviikko 21.10. "Script kiddie"

Kuvassa on Niina, joka on yksi Vastaamoon kohdistuneen tietomurron uhreista.
Vastaamon entinen asiakas Niina saa kuulla tietomurrosta mediasta.Silja Viitala / Yle

Keskiviikkona päivällä Niina makaa kotisohvalla selällään, läppäri rinnallaan. Hän avaa artikkelin Facebookin uutisvirrasta. Se kertoo Vastaamoon kohdistuneesta tietomurrosta.

Niina on yksi psykoterapiakeskuksen asiakkaista. Tor-verkko on hänelle tuttu – hän menee Torilaudalle ja lukee hakkerin jättämän viestin.

Niina päättää kirjoittaa terapeutilleen ja kysyy, pitäisikö hänen tehdä asialle jotakin. Jää vaikutelma, ettei terapeutti tiedä asiasta enempää kuin asiakaskaan.

Niina esiintyy tässä jutussa pelkällä etunimellään asian arkaluontoisuuden vuoksi.

Keskiviikkoiltana terapeutti välittää Niinalle Vastaamon ympäripyöreän tiedotteen tapahtuneesta.

– Silloin se ei vielä kauheasti hetkauttanut, hän kertoo.

Minun varoituskelloni soivat heti.

Erka Koivunen

Script kiddie. Skriptipentu.

Se on ensimmäisten haukkumasanojen joukossa, kun nettiyhteisö ottaa hakkerin hampaisiinsa keskiviikkona.

Hyökkääjä on kertonut päässeensä käsiksi Vastaamon heikosti suojattuun palvelimeen automatisoidun skriptin avulla. Jos väite on totta, tietomurto ei ole vaatinut suurta ammattitaitoa.

– Hakkerilla on todennäköisesti ollut käytössä jonkun muun tekemiä hyökkäysskriptejä, joita ammutaan sokeasti oikealle ja vasemmalle, kuvaa F-Securen tietoturvajohtaja Erka Koivunen.

Asiantuntijoiden katse kääntyy nopeasti Vastaamon tietoturvaan. Potilastiedot on varastettu toimitusjohtaja Ville Tapion itse ohjelmoimasta järjestelmästä. Vanhoissa lehtijutuissa Tapio kertoo olevansa itseoppinut koodari. Kaiken lisäksi järjestelmän valvonta on ollut lähes olematonta.

– Minun varoituskelloni soivat heti, jos psykologialan firma rakentaa itselleen tietojärjestelmän itseoppineen koodarin toimesta. Miksi? Miksei järjestelmää hankittu joltakin ammattimaiselta yritykseltä? Tässä on laiminlyöty järjestelmän tietoturvasta huolehtiminen, Koivunen sanoo.

Totuus Vastaamon tietoturvasta selviää vasta tulevaisuudessa, mutta tulokset näkyvät jo nyt. Kymmenien tuhansien ihmisten salaisuudet ovat julki.

Keskiviikko 21.10. "Blyat"

Kiristäjä pelaa alusta asti julkisuuspeliä.

Hän keskustelee muiden netinkäyttäjien kanssa. Hän vastailee kysymyksiin ja vaikuttaa ärsyyntyvän tuntemattomalle käyttäjälle, joka julkaisee ketjuun piirroskuvia animehahmoista. Yhteen kuvista hän vastaa venäjänkielisellä kirosanalla "blyat".

Hän myös antaa ymmärtää käyttävänsä exploit.in-palvelua, joka on pimeässä verkossa toimiva tunnettu venäjänkielinen hakkerifoorumi.

Hakkerin käytös on yllättävää. Hän tuntuu viihtyvän valokeilassa enemmän kuin rikolliset yleensä.

Kuvassa on psykoterapiakeskus Vastaamon lähettämiä salaamattomia sähköposteja, joista on kuvankäsittelyn keinoin poistettu henkilöivät yksityiskohdat.
Kun Vastaamo lopulta tiedottaa asiakkailleen rikoksesta, se lähettää viestit suojaamattoman sähköpostiyhteyden yli.Silja Viitala / Yle

Kiristäjä haluaa suomalaisten näkevän Vastaamon syyllisenä. Itsestään hän maalaa kuvan asiallisena hakkerina, joka ei oikeastaan vaadi paljon. Sanallakaan hän ei ota kantaa Vastaamon asiakkaiden kärsimykseen.

Hakkeri julkaisee kuvakaappauksia väitetystä sähköpostinvaihdosta yrityksen kanssa. Hän haluaa antaa vaikutelman, että epätoivoinen Tapio on neuvotellut lunnaiden maksamisesta kollegoidensa tietämättä.

Ei ole mitään takeita siitä, että viestit ovat aitoja. Joillekin sanoma menee silti läpi: Torilaudalla Vastaamon toimitusjohtaja Ville Tapio saa ainakin kaksi tappouhkausta.

Ilmapiiri alkaa kuitenkin nopeasti kääntyä hakkeria vastaan.

Ilmeisesti jäljillä ollaan.

Tuntematon Torilauta-käyttäjä

Koodaustaitoiset netinkäyttäjät käyvät kuumeisesti läpi hakkerin Tor-verkkoon julkaisemia tietoja virheiden varalta. Osa tulkitsee, että hän on jättänyt vihjeitä esimerkiksi olinpaikastaan. Toisten mielestä alkeellisten virheiden takana on vain harhautus.

Jo alussa moni veikkaa, että hakkeri on suomalainen. Kiristäjän englannin kielen taito ei vaikuta natiivin tasoiselta. Hän myös sukkuloi sujuvasti suomenkielisellä keskustelupalstalla eikä juutu CAPTCHA-varmennuksiin, joissa käyttäjän pitää erottaa suomenkieliset lauseet vironkielisistä.

"Kokemukseni mukaan kaikki maksavat. Ne maksavat enemmän, jotka maksavat myöhemmin", kiristäjänä esiintyvä henkilö kirjoittaa Ylilaudalla englanniksi.

Mutta jääkylmän kansainvälisen rikollisen roolia vetävän kiristäjän seuraava siirto on kaikkea muuta kuin ammattimainen.

Tietovuotojen aikajana.
Marraskuu 2018: Hyökkääjä murtautuu psykoterapiakeskus Vastaamon potilastietojärjestelmään.
Maaliskuu 2019: Toinen murto Vastaamon tietoihin. Yhtiön mukaan toimitusjohtaja pimittää tiedon hyökkäyksestä.					
Kesäkuu 2019: Vastaamon perustajat saavat miljoonatilin, kun yritys myydään pääomasijoittajille.					
29.9.2020: Rikollinen ottaa yhteyttä Vastaamoon ja vaatii lunnaita. Yhtiö ilmoittaa poliisille.					
21.10.2020: Kiristäjä julkaisee osan potilastiedoista Tor-verkossa ja Ylilaudalla.					
24.10.2020: Hyökkääjä alkaa kiristää myös Vastaamon asiakkaita potilastiedoilla.					
26.10.2020: Vastaamo erottaa toimitusjohtaja Ville Tapion.					
28.10.2020: Poliisi kertoo saaneensa Vastaamosta jo 15 000 rikosilmoitusta.

Perjantai 23.10. "Mokasiko herra Ransom?"

Varhain perjantaiaamuna tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen istuu odottamassa haastatteluvuoroa MTV3:n studioon. Odotellessaan hän selaa Tor-verkossa Vastaamoon liittyviä sivua. Hänen huomionsa kiinnittyy tekniseen yksityiskohtaan.

Kiristäjän nettisivulle on ilmestynyt yön aikana tiedosto, jonka nimi on vastaamo.tar. Sen on tarkoitus pakata kätevästi jaettavaksi ne 300 potilastietoa, jotka rikollinen on siihen asti julkaissut. Näin kiristäjä on itse yöllä ilmoittanut.

Jokin ei kuitenkaan täsmää.

Tiedoston koko on niin suuri, että siinä on oltava muutakin kuin muutaman sadan ihmisen terapiakäyntejä koskevat tekstikatkelmat.

Miten hän pystyy näin paljon mokaamaan, en osaa sanoa.

Mikko Hyppönen

Äkkiä koko vuotosivu lakkaa vastaamasta. Joku kertoo varmana tietona: lunnaat on maksettu. Netistä löytyy bitcoin-lompakko, josta löytyy kiristäjän vaatima 40 bitcoinin summa. Perjantai-iltapäivän aikana sivu kuitenkin palaa vähäksi aikaa, kunnes katoaa toistaiseksi. Myös johtolanka bitcoin-lompakosta osoittautuu vääräksi.

Perjantain aikana alkaa näyttää siltä, että ransom_man on vahingossa julkaissut koko varastamansa aineiston Tor-verkkoon. Useat käyttäjät kertovat saaneensa ladattua osia tiedostosta tai jopa koko tiedoston.

"Mokasiko herra ransom?" yksi keskustelija ihmettelee.

Kuvassa on nimimerkin ransom_man Torilaudalle 21. lokakuuta 2020 tekemä postaus, jossa kerrotaan Vastaamoon kohdistuneesta tietomurrosta.
Tor-verkossa ei sinänsä ole mitään laitonta. Anonyymin luonteensa vuoksi se kuitenkin houkuttaa myös rikollisia toimijoita.Silja Viitala / Yle

Asia varmistuu viimeistään, kun Torilaudalla alkaa vastenmielinen huutokauppa. Ihmiset pyytävät poliisien, poliitikkojen tai julkkisten tietoja. Osa niistä myös julkaistaan.

Julki tulee potilastietoja, joita ei löydy ransom_manin alun perin julkaisemista tiedostoista. Myös tietoja julkaisevat nimimerkit ovat uusia.

Kiristäjä on päästänyt käsistään kaikkein kalleimman saaliinsa.

– Miten hän pystyy näin paljon mokaamaan, en osaa sanoa. Varmaan se on ollut vahinko, F-Securen Mikko Hyppönen kommentoi myöhemmin Ylelle.

Huomaako kiristäjä itse? Ainakin hän jatkaa peliä kuin kyseessä olisi ollut merkityksetön lipsahdus.

"Whoopsie :D enjoy big tar", hän toivottaa Torilaudan lukijoille (Hupsista, nauttikaa isosta .tar-tiedostosta).

Seuraavana päivänä kiristäjällä on tarjolla jälleen uusi yllätys.

Lauantai 24.10. "Kuten todennäköisesti tiedätte jo uutisista"

"Kuten todennäköisesti tiedätte jo uutisista, olemme murtautuneet Vastaamon potilastietokantaan", sähköpostissa lukee.

Lauantaina alkuillasta Emmi joutuu osaksi yhtä Suomen rikoshistorian suurimmista jutuista. Tuntematon kiristäjä vaatii häntä maksamaan 200 euron arvosta bitcoineja vuorokauden kuluessa tai 500 euron arvosta bitcoineja kolmen vuorokauden sisällä. Muussa tapauksessa hänenkin tietonsa julkaistaan.

Emmi ei esiinny tässä jutussa omalla nimellään asian arkaluontoisuuden vuoksi.

On tapahtunut onneton sattuma: Emmi ei varsinaisesti ole ollut Vastaamon asiakas. Hän on ainoastaan varannut ajan elokuussa 2018 ja perunut sen pari päivää myöhemmin.

– En ajatellut tietomurron koskevan minua, koska en ollut asiakkaana koskaan, hän sanoo.

Aikaa varatessaan hän on kuitenkin joutunut antamaan yhteystietonsa ja kuvannut elämäntilannettaan. Nyt nuorta naista kiristetään niillä tiedoilla.

– Tulee vähän typerä olo, että on kirjoitellut henkilökohtaisia asioita siinä kohtaa. Onko välttämätöntä pyytää noin tarkkoja tietoja etukäteen?

Kuvassa on Niina, joka on yksi Vastaamoon kohdistuneen tietomurron uhreista.
"Ei mulla ole tollasia rahoja", ajattelee Vastaamon entinen asiakas Niina saadessaan kiristäjältä sähköpostin.Silja Viitala / Yle

Hätäkeskukseen tulee uhreilta satoja puheluita lyhyessä ajassa.

Ihmisille alkaa valjeta, kuinka isosta asiasta on kyse. Mikko Hyppösen mukaan edes maailmalta ei löydy toista yhtä laajaa tietomurtoa, jossa olisi varastettu uhreille niin herkkiä tietoja kuin nyt.

Hyökkääjä käyttää kirjeiden lähettämiseen kyselytutkimuksiin tarkoitettua verkkopalvelua, todennäköisesti varastetuin tunnuksin.

Lauantain aikana vähintään 15 000 suomalaista saa kiristyskirjeen. Todennäköisesti uhreja on enemmän, sillä kiristäjä itse on väittänyt varastaneensa 40 000 potilaan tiedot.

"Otamme Teihin yhteyttä koska olette käyttäneet vastaamon terapia ja/tai psykiatriapalveluita", kiristäjä viestii nyt suomeksi. Hän haluaa herättää tunteen, että sähköposti olisi lähetetty jokaiselle asiakkaalle henkilökohtaisesti.

Sähköpostin saa myös Niina, joka ei aluksi ole pitänyt tietomurtoa vakavana asiana. Hän menee hetkeksi pois tolaltaan.

– Ajattelin, että ei mulla ole tollaisia rahoja! Kun shokki meni ohi, ymmärsin ettei kannata maksaa.

Lauantai 24.10. "Julkaise nyt ne v---n tiedot!"

Osa uhreista vastaa rikokseen rohkeudella. He tulevat esiin omalla nimellään ja kertovat ennen kiristäjää julkisesti, miksi ovat olleet psykoterapiassa.

Lauantai-iltana Twitterissä syntyy pieni kansanliike. Tunnisteilla #enlue ja #enjaa käyttäjät lupaavat, etteivät edes selaa arkaluontoista materiaalia.

Mutta Torilauta ei ole Twitter. Pimeän verkon keskustelupalstalla liikkuu ihmisiä, joiden omaatuntoa #enlue- ja #enjaa-tunnisteet eivät paina. Sen voi nähdä vaikkapa Torilaudan aiheista: Vastaamo-tietojen lisäksi laudalla keskustellaan lauantaina "raiskausvinkeistä" ja poliisin tekemien huumeiden valeostojen tunnistamisesta.

Myös kiristäjä on läsnä. "This is us", hän vastaa kyselyihin, ottaen vastuun kirjeistä.

Mikko Hyppönen
F-Securen tutkimusjohtaja Mikko Hyppönen ilmoittaa yhtiön auttavan kiristäjälle maksettujen bitcoinien jäljittämisessä.Petteri Sopanen / Yle

Kiristyskirjeiden tulva järkyttää suomalaisia. Monen asiantuntijan silmissä se on kuitenkin epätoivoinen siirto. Hakkeri, joka on vaatinut Vastaamolta lähes puolen miljoonan edestä kryptovaluuttaa, on alkanut toimia kuin nettipetoksia tehtaileva pikkurikollinen.

– Tuntuu, että hänellä ei ehkä ollutkaan niin vahvaa suunnitelmaa, kommentoi F-Securen Mikko Hyppönen myöhemmin Ylelle.

Lauantai-illan päätteeksi kiristäjä palaa vielä kerran Torilaudalle. Hän juttelee muutaman viestin verran lunnaiden maksuaikataulusta. Se ei kuulemma ole kovin tarkkaa.

"Me pyydämme vain pientä summaa, ihmiset eivät menetä maksaessaan paljon", hän kirjoittaa englanniksi.

"Julkaise nyt ne vitun tiedot", joku härnää.

Mutta tietoja ei tule. Muutamat rennot viestit ovat viimeiset, joita Torilaudan käyttäjät näkevät kiristäjältä toistaiseksi.

Maanantai 26.10. "Olen syvästi pahoillani"

Maanantaina iltapäivällä Vastaamo ilmoittaa, että toimitusjohtaja Ville Tapio erotetaan. Yhtiön mukaan tietomurtoja on ollut kaksi ja Tapio on tiennyt ainakin toisesta.

Vastaamon vuonna 2019 ostanut pääomasijoittaja aloittaa oikeustoimet yhtiötä vastaan. Omistajan edustaja kertoo medialle, että yrityskauppaa ei olisi tehty, jos tietomurrosta olisi tiedetty.

Vastaamon omistajat ovat tehneet ison tilin myydessään yrityksen eteenpäin. Uusi omistaja hakee heidän omaisuuttaan takavarikkoon lähes kymmenen miljoonan euron edestä.

Olen syvästi pahoillani vastaamolaisten ja heidän asiakkaidensa puolesta.

Ville Tapio Facebookissa

Facebookissa Ville Tapio pahoittelee tapahtunutta. Hän antaa ymmärtää, että Vastaamo on päättänyt erottaa hänet jo ennen kuin kiristäjä on julkaissut ensimmäistäkään potilastietoa.

"Yhtiön valmistellessa viimeiset kaksi viikkoa irtisanomistani, minulla on ollut kielto kommentoida asiaa julkisesti", Tapio kirjoittaa sittemmin poistetussa postauksessa.

"Nähtävästi inhimilliset virheet ketjuuntuivat. Toimitusjohtajana kannan osaltani vastuun tapahtumista. Olen syvästi pahoillani vastaamolaisten ja heidän asiakkaidensa puolesta."

Tiistai 27.10. "Ehkä pakenen tilannetta alitajuisesti"

Tiistaina Vastaamon tietomurron uhreja on tiedossa niin paljon, että jutusta on kovaa vauhtia tulossa Suomen rikoshistorian kaikkien aikojen laajin juttu asianomistajien määrässä mitattuna.

Uhreja ovat asiakkaiden lisäksi myös Vastaamon työntekijät – joissakin tapauksissa myös asiakkaiden läheiset, joiden tietoja potilaskertomuksiin on kirjattu.

Sosiaaliseen mediaan on alkanut ilmestyä uhrien yhteisöjä. Niissä jaetaan tilannekuvaa ja annetaan vertaistukea.

Vastaamon entinen asiakas Niina tuntee olonsa väsyneeksi. Hän auttaa mielellään muita uhreja, mutta viestejä tulee todella paljon.

– Ehkä pakenen tilannetta alitajuisesti. En ehdi miettiä omaa tilannettani.

Tiistai-iltana päättyy kiristäjän asettama takaraja potilastietojen julkaisuun. Kiristäjän sivu pysyy matalana eikä Torilaudalle ilmesty mitään uutta.

Mikko Hyppösen mielestä kiristäjällä on vain kaksi syytä oikeasti julkaista tiedot. Toinen on varoittavan esimerkin tekeminen tulevien murtojen uhreille.

– Toinen on puhdas sadismi.

Kuvassa on Niina, joka on yksi Vastaamoon kohdistuneen tietomurron uhreista.
Niina ryhtyy nopeasti antamaan vertaistukea muille tietomurron uhreille.Silja Viitala / Yle

Keskiviikko 28.10. "Kuin radioaktiivista jätettä"

Keskiviikkona eräs tuntematon Torilaudan käyttäjä vahvistaa pitävänsä hallussa suurta vastaamo.tar-pakettia. Hän kertoo päässeensä siihen käsiksi edellisperjantain vastaisena yönä automaattisen skriptin avulla.

Tuntematon kirjoittaja tunnustaa myös julkaisseensa laudalla useita potilastietoja paketista viikonloppuna. Sillä hän kertoo halunneensa todistaa medialle, että kaikki potilastiedot ovat todella karanneet kiristäjältä. Enempää hän ei aio julkaista.

"En aio jatkaa toimintaa ja se on jo alusta lähtien herättänyt hyvin ristiriitaisia tunteita. Käsittelen [tiedostoa] kuin radioaktiivista jätettä", hän kirjoittaa.

Myöhemmin hän jakaa vielä joitakin teknisiä yksityiskohtia osoittaakseen, että tiedosto todella on hänellä. Väitettä on kuitenkin mahdotonta todistaa pitävästi niin kauan kuin tiedosto pysyy tuntemattoman käyttäjän hallussa.

Samaan aikaan aineisto näyttää kiinnostavan myös ostajia, joita ristiriitaiset tunteet eivät hidasta. Joku ilmoittaa myyvänsä koko datan 500 eurolla. Toinen tarjoaa siitä satasen.

Torstai 29.10. "Ilmeisesti jäljillä ollaan"

Torstain vastaisena yönä kiristäjä aktivoituu jälleen siirrelläkseen kiristyksellä saamiaan rahoja. F-Securen mukaan kryptovaluutat, joita osa pieni uhreista ehti maksaa, liikahtavat bitcoin-lompakosta toiseen.

Yhtiön laskujen mukaan rikollinen on saanut puristettua uhreilta ainakin muutamia tuhansia euroja. Alun perin hän oli vaatinut lähes puolta miljoonaa.

Samaan aikaan verkon huumekaupan suomenkielisessä keskittymässä Torilaudalla kyllästytään odottamaan nimimerkki ransom_manin paluuta. Monet käyvät uudestaan ja uudestaan läpi kiristäjän verkkoon jättämiä jälkiä siinä toivossa, että ne johtaisivat rikollisen kiinni saamiseen.

Ilmiö on Suomen rikoshistoriassa täysin poikkeuksellinen. Tuskin koskaan aikaisemmin hakkerit ovat vastaavalla tavalla yhdistäneet voimiaan poliisin auttamiseksi.

Kaikista vihjeistä ei hiiskuta sosiaalisessa mediassa mitään. Ne menevät suoraan poliisille, kuten virkavalta toivookin.

"Ilmeisesti jäljillä ollaan", innokkaimmat tulkitsevat.

Jos kiristäjä on ajatellut olevansa hakkereiden keskuudessa omiensa joukossa, hän on erehtynyt.

Lauantai 31.10. "En oikeastaan pelkää"

Tulevana sunnuntain vastaisena yönä Torilauta katoaa Tor-verkosta. Sillä ei ole mitään tekemistä Vastaamo-murron kanssa – ylläpitäjä on jo aikoja sitten ilmoittanut sulkevansa sen lokakuun lopussa vuonna 2020.

Luultavasti hän haluaa välttää joutumasta kiinni. Torilaudan edelläkävijän, huumekauppasivusto Sipulikanavan perustajaa uhkaa pitkä vankeustuomio.

Yksi Torilaudan jatkajaehdokas on nimeltään Suomilauta. Torstaina aamulla Torilaudalle ilmestyy varoitus. Tulevalla Suomilaudalla Vastaamoon liittyvien tietojen levittely on kielletty, ja siihen tullaan puuttumaan. Todennäköisesti samalla häviää myös kiristäjä ransom_man.

Henkilötietojen julkaisu on kuitenkin ollut myös Torilaudan sääntöjen vastaista. Silti useita potilaskertomuksia oli nähtävillä vielä tätä juttua kirjoitettaessa.

Kuvassa on Niina, joka on yksi Vastaamoon kohdistuneen tietomurron uhreista.
Niina harkitsee sukunimensä vaihtamista.Silja Viitala / Yle

Monet pelkäävät, että tiedot päätyvät ennen pitkää kauppatavaraksi alamaailmaan. Esimerkiksi henkilötietoja voi yrittää käyttää uusiin rikoksiin, kuten identiteettivarkauksiin ja tilauspetoksiin.

On olemassa myös ihmisiä, jotka ovat valmiita jakamaan toisten ihmisten yksityisiä terveystietoja pelkästään aiheuttaakseen heille kärsimystä. Vielä ennen Torilaudan sulkeutumista nettiin ilmestyy nimettömältä käyttäjältä ryöppy uusia potilaskertomuksia. Ne kuuluvat lähinnä viranomaisille, joita kohtaan kirjoittajalla on jotain hampaankolossa.

"Pyysit lisää sikojen tietoja? Eikö? Nyt niitä tulee", hän kirjoittaa.

Ei auta kuin odotella, ajattelee Vastaamon entinen asiakas Niina. Hän harkitsee sukunimensä muuttamista, jotta olisi edes sen verran suojannut itseään. Se kuitenkin maksaisi yli sata euroa, mikä tuntuu Niinalle isolta rahalta.

– En oikeastaan pelkää.

Oikaisu 31.10. kello 10.34: Toisin kuin jutussa kerrottiin, Tor-verkon Sipulikanavan perustaja ei istu pitkää vankeustuomiota. Käräjäoikeus on tuominnut hänet, mutta tapausta käsitellään paraikaa Helsingin hovioikeudessa.

Lue myös:

Uusimmat tiedot Vastaamon tietomurrosta

"Sysop" on kylmähermoinen kaveri, joka mahdollistaa Tor-verkon huumekaupan eikä tee virheitä – nyt hän sulkee foorumin, mutta kauppa jatkuu

"Anonyymi murhapalvelu, maksu bitcoineina" – Kun kaksi suomalaista nuorukaista löysi toisensa netissä, seuraukset olivat kohtalokkaat

Lue seuraavaksi