Kun Kivimäelle selvisi, että Vastaamon tietokannassa oli tällaisia haavoittuvuuksia, hän syyttäjän mukaan loi yhteyden Vastaamon MySQL-palvelimeen käyttämällä hänelle kuulumatonta käyttäjätunnusta ja salasanaa. Tämän jälkeen hän latasi itselleen Vastaamon potilastietokannan.

Kivimäki on tietysti ihan suoraan kusipää kun ryhtyi kiristämään saamillaan tiedoilla, mutta jotenkin tuntuu että Vastaamon rooli tässä tietomurrossa on jätetty uutisoinnissa melko vähälle.

Ne, jotka eivät tiedä, MySQL on siis tietokantamoottori ja yleisesti ottaen yhtään mikään tietokantapalvelin missään ei ole tavoitettavissa suoraan julkisesta internetistä, vaan välissä on palomuureja ja muuta suojausta. Tämän lisäksi tuo “hänelle kuulumaton käyttäjätunnus ja salasana” on ollut luokkaa admin/admin, jolloin voisi ainakin semanttisesti väittää, että Kivimäki on käyttänyt ihan omaa salasanaansa, se nyt on vain sattunut kelpaamaan myös Vastaamon tietokantaan.

Koko touhu on tietysti henkilötasolla aiheuttanut monta melkoisen paskaa tilannetta, mutta näin IT-alan hommissa kovasti toivoisi että asian ympäriltä nostettaisiin pöydälle näkyvästi myös se fakta, että tuon tietokannan suojaus on samaa tasoa kuin kaupan takahuoneen lukitsematon ovi, jossa on tarra ‘vain henkilökunnalle’.

  • Kryomaani@sopuli.xyz
    link
    fedilink
    suomi
    arrow-up
    9
    ·
    edit-2
    1 year ago

    Tämän lisäksi tuo “hänelle kuulumaton käyttäjätunnus ja salasana” on ollut luokkaa admin/admin, jolloin voisi ainakin semanttisesti väittää, että Kivimäki on käyttänyt ihan omaa salasanaansa, se nyt on vain sattunut kelpaamaan myös Vastaamon tietokantaan.

    Tämähän se. “admin/admin” on salasana siinä missä tämä on kassakaappi. Kaikkein käsittämättömintä tässä jutussa on se, että Vastaamo on ihan käytännössä luovuttanut Kivimäelle vapaaehtoisesti kaiken sen potilastiedon, mutta silti Vastaamon toimarille annetaan kolme kuukautta ehdollista vaikka hän ja alaisensa ovat täysin kiistatta tapahtuneeseen pääsyyllisiä. Jos Kivimäki ei olisi tätä tehnyt, olisi kyllä löytynyt joku muu.

    Jos lääkäri jättäisi kadunvarteen pahvilaatikon jonka kyljessä lukee “potilasasiakirjoja, älä pölli” ja joku veisi sen, olisi hän korviaan myöten kusessa, mutta kun Vastaamon pamppu tekee saman mutta verkossa, niin se on ihan täysin no problem. Valitettavasti lain edessä yritys on aina pyhä lehmä eikä leväperäisimmästäkään toiminnasta saa rankaista kun wää sitten menee verotulot ohi suun wää, laki on auttamattoman kivikaudella tietoverkkoasioissa eivätkä tuomioistuimet ymmärrä tietoturvan perusteista hölkäsen pöläystä.