perjantai 22. huhtikuuta 2022

Kummallinen henkilötietojen vuoto - viranomaiset vaikenevat

F-Securen SAFE-palvelun käyttäjät hätkähtivät tänään, kun he saivat punaisella merkityn vakavan varoituksen henkilötietojensa vuotamisesta. Erikoisinta oli, että vuotaneen palvelun nimenä luki vain "Salassa pidettävä palvelu". Vuotaneiden henkilötietojen joukossa oli sosiaaliturvatunnus, mikä teki vuodosta huolestuttavan.

Mediassa ei kuitenkaan ollut mitään uutista. Kukaan ei myöskään ole saanut GDPR-lakien mukaista ilmoitusta, joka tietovuodon paljastuttua tulee lähettää henkilöille, joiden oikeudet ovat vaarassa. Mistä ihmeestä on kyse?

Olen silloin tällöin tarkistanut omat tietoni F-Securen Identity Theft Checker -palvelusta, samoin kuin suomalaisesta Badrap.io:sta ja Have I been pwned -palvelusta. Kertatarkistus on niissä kaikissa ilmainen. F-Secure näytti myös omien tietojeni olevan vuodettujen joukossa:

F-Secure raportti

Mikä erikoisinta, F-Secure kertoo peräti kahdesta "julkistamaton palvelu" -vuodosta, joista edellinen oli jo maaliskuussa. Uudempi on päivätty huhtikuulle, ja siinä on mukana "sosiaaliturvatunnus".

Sellaista ei ole käytetty enää pitkään aikaan. Nykyään kyseessä on henkilötunnus, koska se on erkaantunut kauas alkuperäisestä työeläke- ja sosiaaliturvakäytöstä.

Voi kuvitella, että jos vuoto on vakava, poliisi estää siitä tiedottamisen vedoten tutkinnallisiin syihin. Tämä peruste ei kuitenkaan voi ohittaa GDPR:ää. Edes kansallinen turvallisuus ei siihen riitä, kuten saatiin juuri havaita. Tietosuojavaltuutettu antoi ulkoministeriölle huomautuksen, koska se oli lykännyt Pegasus-urkintaohjelman kohteeksi joutuneiden diplomaattien informointia. GDPR ei tunne kansallista etua salailuperusteena. 

Henkilötunnusta käytetään vain kotimaisissa palveluissa, joten kyse ei voi olla mistään amerikkalaisesta nettijätistä. Lähinnä vain operaattori, pankki ja viranomaiset tallentavat henkilötunnuksia, eikä omani ole aiemmin ollut mukana tietovuodoissa. Mistä ihmeestä on kyse?

Kyseessä voikin olla Y-tunnus??

F-Securen twiitin mukaan kyseessä voikin olla Y-tunnus. Miten ihmeessä yhtiö sotkee HETUn ja Y-tunnuksen? Niillä on todella iso ero, sillä Y-tunnus on julkista tietoa kun taas HETUn käyttöä pyritään välttämään. 

Y-tunnuksen vuotaminen henkilötietojen mukana viittaa siihen, että kyse olisi viranomaisen tiedoista. Hyvin erikoista. Luulisi tietosuojavaltuutetun ja poliisin selvittävän asiaa.

Twiitissään F-Secure antaa ymmärtää, että poliisi ei ehkä halua julkistaa tietoja. Herää kysymys, mistä F-Secure sitten on saanut vuodetut tiedot ja miksi se itse rikkoo poliisin ohjetta tiedottamalla asiasta suoraan vuodon uhreille?

Lisäys 26.4.22: Vihdoin tuli uutinen, jonka mukaan kyse olisi jostain hotellien toimittajan (?) järjestelmästä, johon on murtauduttu 10-14.2.2022. Asia olisi paljastunut 9.4., minkä jälkeen siitä on raportoitu tietosuojaviranomaiselle ohjeen mukaisesti 72 tunnin kuluessa eli 12.4.2022. Uutisen mukaan asiakkaisiin on otettu yhteyttä sähköpostitse ja että kyse on yhteystietojen lisäksi päivämääristä, jolloin asiakas on yöpynyt hotellissa. 

Jotain outoa tässä on silti, koska F-Securen ilmoituksen mukaan minunkin tietoni ovat olleet mukana vuodossa, jopa henkilötunnus (tai Y-tunnus?), enkä ole saanut mitään ilmoitusta.

4 kommenttia:

Anonyymi kirjoitti...

Moi '
toi oli ainoo mitä 3min löysin... mut nekin aika vanhoja vuotoja kuten 2020.....

google/ >>> ""MGM and leaked internet-sites """ /no2

KohtoKohto kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
KohtoKohto kirjoitti...
Kirjoittaja on poistanut tämän kommentin.
KohtoKohto kirjoitti...

Onko kyse tästä suomalaisia hotelleja koskevasta tietomurrosta:

https://www.mtvuutiset.fi/artikkeli/laaja-hotellien-tietovuoto-paljastui-mtv-lle-lahes-16-000-asiakkaan-henkilotiedot-vuotaneet-kampissa-ja-f6-hotellissa-vuotojen-maara-voi-olla-suurempi/8412654