keskiviikko 7. huhtikuuta 2021

Facebook-vuodon jälkipyykkiä

Facebook on antanut oman selityksensä tietovuodolle. Sen mukaan kyseessä oli tekniikka, jolla Facebookista pystyttiin etsimään ihmisiä puhelinnumeron avulla. Joku oli tehnyt Facebookia matkivan sovelluksen, joka etsi suuren määrän ilmeisesti satunnaisia puhelinnumeroita ja keräsi niihin liittyviä julkisia tietoja (nimi, työnantaja, parisuhdestatus ym) tiedostoksi.

Mikko Hyppönen kutsui temppua varkaudeksi. Verbi varastaa on tässä yhteydessä raju. Jos puhelinnumerot löytyvät kokeilemalla, onko niiden kerääminen varkaus? Entä niiden takana olevien tietojen yhdistäminen tiedostoksi? Perinteisen maailman käsitteiden soveltaminen digimaailmaan ei ole ihan suoraviivaista.

Tuloksena oli joka tapauksessa jättikokoinen tietokanta ja tietosuojakohu, joka sai pääsiäisen pyhinä monet huolestumaan. Suomalainen Teemu kehitti pikavauhtia vuoto.fi-palvelun, josta pystyi tarkistamaan, oliko oma puhelinnumero vuodettujen joukossa. Palvelu perustui Teemun numeroista laskemiin sha-1-tiivisteisiin, joten kenenkään ei tarvinnut lähettää numeroaan palveluun. 

Ei kestänyt kauaa, ennen kuin muutamat tietoturvatutkijat olivat ladanneet Teemun kokoamat tiivistelistat ja palauttaneet muutoin yksisuuntaisen funktion takaisin alkuperäisiksi numeroiksi. Näin saatiin siis lista kaikista puhelinnumeroista, joita vuodossa oli.

Tämä kuulostaa pahalta, mutta lista ei muutenkaan ollut kovin salainen, sillä kohu nousi juuri siitä, että alkuperäinen lista tuli avoimeen verkkoon helposti löydettäväksi. Ja siinä listassa oli numeroiden lisäksi kaikki muutkin henkilötiedot. 

Jokainen tietoturvatutkija alkuperäisen listan helposti käsiinsä, joten sinällään sha-1-kääntö oli täysin turha. Se kuitenkin osoitti, miten vaikeaa on tarjota tietoa pseudonymisoituna tai osittain salattuna. Sha-1 tiedetään haavoittuvaksi, vaikka esimerkiksi Have I Been Pwned -palvelu käyttää juuri sitä. Puhelinnumerot oli helppo löytää kokeilemalla, koska niiden avainavaruus on suppea esimerkiksi salasanoihin verrattuna.

Vuoto.fi tarkistuspalvelu

Oliko Teemun tarjoama palvelu laiton, vaarallinen vai yleisölle hyödyllinen? Teemu itse ei juridiikkaa pohtinut. Vaikeaa se on asiantuntijallekin, edes näin jälkikäteen.

Viestintäviraston edustaja kritisoi palvelua sanoen "sen käyttö ei ole Kyberturvallisuuskeskuksen mielestä järkevää". 

Miten vuodosta huolestuneen kansalaisen olisi siis pitänyt menetellä? On inhimillistä haluta tietää, ovatko omat tiedot vuotaneet, vaikkei asialle voinutkaan tässä tapauksessa tehdä mitään.

Miksei Kyberturvallisuuskeskus tai poliisi tarjonnut tarkistuspalvelua? Niillä olisi ollut resursseja palvelun turvalliseen toteuttamiseen ja nähdäkseni myös lainmukainen käsittelyperuste.

Ilman Teemun palvelua moni kansalainen olisi lähtenyt hakemaan listaa ja ladannut sen kaikkine tietoineen itselleen. Tämä olisi ollut kokonaisuutena paljon huonompi vaihtoehto kuin helpon tarkistuspalvelun tarjoaminen.

Tällä hetkellä viranomainen suosittelee käyttämään Microsoftin työntekijän Troy Huntin perustamaa Have I Been Pwned -palvelua, johon vuodetut puhelinnumerot lisättiin juuri (kun vuoto.fi avattiin, HIBP käsitteli vain sähköpostiosoitteita ja salasanoja). Suositus on yllättävä, sillä australialaisen yksityishenkilön pyörittämällä palvelulla ei käsittääkseni ole laillista perustetta suomalaisten henkilötietojen käsittelyyn ja palvelun tarjoamiseen EU-alueelle. Voi epäillä, että palvelu on GDPR:n vastainen. Jos ei ole, tuskin on vuoto.fi palvelukaan, koska molemmat tekevät pohjimmiltaan saman asian.

Tämä ei jää viimeiseksi tietovuodoksi. Toivottavasti tiedottamista varten saadaan luotua selvät pelisäännöt ja pohdittua juridinen pohja kuntoon. Ei voi olla niin, että tietosuojalait estävät vahingoista kertomisen ja kansalaisten oikeutettuun huoleen vastaamisen, samalla kun viranomainen vetoaa kaiken kieltävään tietosuojalakiin. Uhreillakin on oikeutensa.

PS. Joku juristi voisi pohtia sitäkin, onko pelkkä puhelinnumeroiden lista (ilman nimiä tai mitään muita henkilötietoja) tietosuojalakien alainen? Onko pelkkä absoluuttinen numerosarja henkilötieto?

14 kommenttia:

Nimetön kirjoitti...

Hauska kysymys, onko puhelinnumeroiden lista tietosuojalakien alainen. Koska jos on, onko sellainenkin lista, jossa ovat koko suomalaisen puhelinnumeroavaruuden kaikki numerot? Entä (yksirivinen) ohjelma, joka generoi tämän listan?

Petteri Järvinen kirjoitti...

Juuri tätä tarkoitin.

Ja tätä listaa, jonka täten julkaisen (sorry kaikille, joiden numerot siinä ovat!):

358408726112
358406327160
358406152500
358458311242
358457226310
358454546969
358505501820
358506551622
358504510233

Jonain päivänä teen Suomen suurimman henkilötietorikoksen: julkaisen KAIKKIEN suomalaisten puhelinnumerot! Niin salatut kuin pre-paiditkin.

Nimetön kirjoitti...

" julkaisen KAIKKIEN suomalaisten puhelinnumerot! Niin salatut kuin pre-paiditkin. "

Ja tuosta päästäänkin siihen, että koskaan ei kannata vastata puheluun omalla nimellään.

Nimetön kirjoitti...

Jos tiedot on julkisesti jostain saatavilla ei niiden talteenotto voi olla laitonta koska yrityksekin sitä tekevät, sitähän sanotaan big dataksi ja sen louhinnaksi (data mining). EI voi olla että vain yrityksillä on oikeus data keräämiseen, käsittelyyn ja louhintaan.

Kyllähän esim. AKE:kin MYY tietoja , välittäkö ja tarkistaako AKE että tietoja käsittelevä taho käsittelee niitä GDPR:n mukaisesti, tuskin.

Markus kirjoitti...

Kyllä tätä aina vain kiihtyvää erilaisten huijausten saagaa seuratessa on tullut mieleen, että mistä hitosta tässä maassa enää veroja maksetaan?

Täysin hyödytön poliisi. Täysin hyödytön jokin kyberturvallisuuskeskus. Mitä virkaa tuollasellakin on? Jäkätystä kuunnellaan?

Rikolliset mellastaa vapaasti ja täällä kaikkien tahojen, keiden pitäisi kansalaisia suojella, on vain siilipuolustusasennossa selittelemässä miksi mitään ei tarvitse eikä voi tehdä.

Vastaamo-keissi oli täysi stereotypiakeissi siitä, miten pystyi ihan etukäteen ennustamaan miten käy. Tekijästä mitään tietoa. Poliisi istuu peukaloidensa päällä. Mahtaako edes muistaa koko keissiä enää? Tietysti julkisuuteen seliteltiin miten viisi helikopteria ja satapäinen tiimi tutkii asiaa. Olikohan edes yhtä reinikaista nakitettu asiaa tutkimaan oikeasti? Yksikään potilas ei saanut hetuaan vaihdettua. Vaikka niin julisteltiin ministerien suulla oikein auttavansa. Siinä kävi juuri niinkuin kirjoitin. Odottelivat, että pöly laskeutuu. Miljonäärit tappelevat keskenään miljoonistaan. Potilaat on täysin dumpattu. Se syytön osapuoli. Mitä teki jokin kyberturvallisuuskeskus? Ei sitten niin yhtikäs mitään.

Nuo voi yhtä hyvin lakkauttaa. Me ollaan hukassa näiden hiton kriminaalien kanssa kun valtio on täysin hiton kädetön. Kelvottomat kekkosen aikaiset systeemit romahtaa niskaan.

Teemu kirjoitti...

Samaan tapaa netin ulkomaiset numeropalvelut olisi laittomia, numeroita julkaistaan ilman mitään salauksia. Ja numeron yhteyteen on mahdollista lisätä henkilön nimi.

Teemu kirjoitti...

Nimetön sanoi...
Kyllähän esim. AKE:kin MYY tietoja , välittäkö ja tarkistaako AKE että tietoja käsittelevä taho käsittelee niitä GDPR:n mukaisesti, tuskin.


AKEsta en tiedä mutta ainakin esim. väestörekisteristä (tai Postista) haettuja osoitetietoja ei luovuteta varsinaiselle markkinoijalle. Postitus tehdään niin, että Oy Yritys Ab ei saa kohderyhmän osoitteita itselleen. Toki sellaisiakin toimijoita on jotka toimittavat konkreettisesti yhteystietolistan ostajalle.

Hannu kirjoitti...

En ole GDPR-asiantuntija, mutta oman päivätyöni kuormaa se on summittaisesti lisännyt kun lakia ja ohjeita yritetään noudattaa parhaan tiedon mukaan.

Oman parhaan tietoni mukaan myös puhelinnumero (tai esim. ip-osoite) on esimerkiksi henkilötieto, jos se on vain liitettävissä tunnistettavissa olevaan henkilöön. Henkilötietoja emme saa käsitellä, ellei siihen sitten ole jotain laissa määriteltyä perustetta kuten vaikka rekisteröidyn suostumus, sopimus, lakisääteinen velvoite tai rekisterinpitäjän oikeutettu etu.

Vaikka tuo aiemmin mainittu data mining on oman tietoni mukaan kyllä laitonta, jos siihen ei ole erikseen saatu lupaa siltä, jonka tietoja tallentaa. Pelkän analytiikankin tallentamiseen pitäisi erikseen kysyä lupaa.

Tallennettuja tietojakaan ei saisi tallentaa iän kaiken, vaan korkeitaan juuri niin kauan kuin tietoja tarvitaan tai laki velvoittaa. Esimerkiksi työhakemukset pitäisi säännöllisesti lähettää silppuriin kun avoin työpaikka on täytetty tai avoimesta hakemuksesta on kulunut rekisterissä mainittu säilytysaika. Vaihtoehtoisesti sitten voidaan kysyä hakijalta jatkoaikaa hakemusten säilyttämiseen.

Oma veikkaukseni on, että vaikka tuo vuoto.fi olisi tiukan laintulkinnan mukaan laiton, koska se sisältää henkilötietoja, joiden tallentamiseen ei ole kysytty lupaa. Samalla se on taas yleishyödyllinen palvelu tietomurron uhreille. Samoin se alkuperäinen kokeilemalla ja yhdistelemällä kasattu rekisteri olisi laiton, koska ei siihenkään ole lupia kyselty.

Rikollisiahan tuo lupien kysely ei haittaa, elleivät sitten jää kiinni. Lakia noudattavia se sitten työllistää kyllä senkin edestä. Ja arvaten moni kuluttaja varmaan edes vieläkään tiedä lain suomia omia oikeuksiaan.

Markus kirjoitti...

Nuo lakilöpinät on ihan hienoja siinä tapauksessa jos asuttaisiin maailman ainoassa maassa.

Mutta maita on lähes 200, joista jokaisella on erilaiset lait. Samoin erilaisia liittovaltioita tai valtioliittoja on useita erilaisia. On kaupalliset yhteisöt sun muut.

Ongelman ydin koko ajan on, että meillä on kansainvälinen verkko, joka toimii tietyllä yhdellä tavalla. Sitä käyttää 200 eri tavalla asioita käsittelevässä maassa asuvaa tahoa.

Muilla mailla ei ole tuomiovaltaa toisten maiden asioihin, ainakaan tapauksessa, jossa vieraan maan kansalainen tekee suomen mittakaavassa rikoksen, mutta kuitenkin vieraan maan kamaralla.

Kun suurin osa näistä asioista ei ole edes rikoksia suuressa osassa maailmaa, silloin asioille ei voi tehdä yhtään mitään. Esimerkiksi juuri nämä puhelinoperaattori-ongelmat.

Suuressa osassa maailmaa eletään vielä keskiaikaa ja facebookit ja internet on ihan uusia asioita. Ne eivät ole roolissa, jossa ihmisten identiteetti on sielä sisällä.

Maailmassa on itse asiassa todella vähän maita, joissa on keskitetty väestötietojärjestelmä. Kymmenen? korkeintaan. Ongelmat on keskitetty väestötietojärjestelmä yhdistettynä tähän globaaliin tieto"maailmaan". Varsinkin kun näistä kymmenestä keskitetystä väestötietojärjestelmä-valtiosta suomi on todennäköisesti se mikä hoitaa asiat kaikkein huonoiten ja vanhanaikaisimmin.

Silloin voisi olla parempi polttaa koko keskitetty väestötietojärjstelmä roviolla ennemmin kuin jatkaa näin.

Kun kerran suomessa mitä ilmeisimmin valtiolla ei ole mitään intressejä nykyaikaistaakaan systeemiä. Näin ollen suomen kansalainen tahtomattaan joutuu sieltä sun täältä uhriksi rikoksiin, joita ei koskaan ole voinutkaan välttää. Ongelma alkoi jo kun syntyi tähän maahan. Tästä asiasta ei paljoa puhutakaan, että myös VALTIOLLA on rooli näissä ongelmissa. Ensin pakotetaan järjestelmä ja sitten jätetään se kaikkien muiden ongelmaksi. Pelkkää jäkätystä ja nalkutusta "teijän pitää hoitaa kun on laki!". Ei missään muussa maassa yhtään kenenkään pidä hoitaa yhtään mitään. Se pitää tehdä täällä tai lopettaa koko homma. Suomalainen henkilötieto/todennus/tunnistusjärjestelmä on muinainen, sitä käytetään järjestäen väärin, eikä sille asialle ilmeisesti saada yhtään mitään aikaiseksi. Se mikään ihme ole, että tänne hyökkää puolen maapalloa putsaamaan tilit.

Nimetön kirjoitti...

olen ollut useampaan tahoon yhteydessä (kauppapaikka) ja sanonnut että saisitte palvelut turvallisemmaksi ja putsattua rikollisista jos käyttäisitte sähköistä tunnistautumista,eivät halua, business kärsii, tässä ongelman ydin, niinkauan kun kärsijöitä on "vähän" ja business pyörii niin yksi hailee vaikka ruumita tulee... sama kai koronan kanssa.

Nimetön kirjoitti...

Hannu: Kertoisitko miten IP-osoite liitetään henkilöön?

Minun koneella on IP-osoite 192.168.1.20 Kuka olen?

Nimetön kirjoitti...

Huomautettakoon, että AKE:a ei ole ollut olemassa yli 10 vuoteen.

Teemu kirjoitti...

Nimetön sanoi...
Minun koneella on IP-osoite 192.168.1.20 Kuka olen?

C-luokan osoitteiden perusteella ei ketään voida tunnistaa mutta julkinen osoite (tarkista oma osoite https://myip.fi) voidaan yhdistää henkilöön operaattorin tietojen perusteella. Tosin useampihenkisissä perheissä vaaditaan sitten muitakin tietoja, että se verkkoon jäänyt tieto voidaan kohdistaa oikeaan perheenjäseneen.

Nimetön kirjoitti...

Ei voi yhdistää henkilöön IP-osoitteella, ei private-verkon eikä julkisella osoitteella, se on tietokoneen/kännykän/tabin/tulostimen yms. IP-osoitetta käyttävän laitteen käyttämä osoite joka EI YKSILÖI käyttäjää eikä edes laitetta.

Itse asiassa IP-osoite ei kerro mikä laite sitä IP-osoitetta käytti vaan operaattorin DHCP-palvelimen logeista näkee mitä MAC-osoitetta käyttävä laite käytti kyseistä IP-osoitetta. Sitten poliisin täytyy tehdä kotietsintä ja tarkistaa kaikkien laitteiden MAC-osoitteet.

MAC-osoite löytyy 4G-modeemilta jota käyttää useat laitteet NAT:in takana eli kaikki liikennöin samalla IP-osoitteella Internettiin.

Esim. Linux-konetta voi käyttää useampikin henkilö samaan aikaan joten miten IP-osoite tai MAC-osoite yksilöi käyttäjän? ei mitenkään

Ja mikä hauskinta MAC-osoitteen voi vaihtaa.