Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Aleksanteri Kivimaki Akıl Sağlığı Hasta Verilerini İhlal Etme ve Haraçla Suçlamayla Suçlandı
Mathew J. Schwartz (euroinfosec) •
6 Şubat 2023
Fransız polisi, Finlandiya’daki bir psikoterapi muayenehanesini ve hastalarını hedef alan bir şantaj planının parçası olduğundan şüphelenilen kötü şöhretli bir bilgisayar korsanını tutukladı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
25 yaşındaki Aleksanteri Tomminpoika Kivimäki, geçen Ekim ayında Finlandiya’da çıkarılan bir Avrupa tutuklama emrinin odak noktası. Vastaamo Psikoterapi Merkezi’nin hack’lenmesine katılmakla suçlanıyor. Merkezi Helsinki’de bulunan ve artık feshedilmiş özel şirket, 25 terapi merkezi aracılığıyla ruh sağlığı hizmetleri sağladı ve Finlandiya’nın kamu sağlık sistemi için yüklenici olarak hizmet verdi (bkz:: İhlalden 2 Yıl Sonra Hastalara Şantaj Yapıldı).
Fransa’nın Actu.fr haber sitesinin haberine göre, daha önce Julius adını kullanan Kivimäki, polisin bir apartman dairesinde aile içi şiddet şüphesiyle ilgili bir ihbara yanıt vermesinin ardından Cuma sabahı Paris’in bir banliyösü olan Courbevoie’de tutuklandı.
Sabah 7’de kendilerine telefon eden kadın, ev arkadaşının gece kulübünden eve getirdiği bir adamın “kızgın ve sarhoş” olduğunu bildirerek, polis kapıyı kimse açmadan kapıyı açmaya hazırlanıyordu. ikisinin kavga ettiğini söyledi.
Polis 1,85 boyunda, yeşil gözlü ve sarı saçlı adamdan Rumen olduğunu belirten kimlik belgelerini istedi. Fransa’nın bilinen suçlular ve kaçak zanlılarla ilgili veri tabanını inceleyen polis, onun yerine Kivimäki olduğunu teşhis etti ve hemen Kulüp arkadaşı olan genç kadının herhangi bir suçta şüpheli olmadığını da sözlerine eklediler.
Suçlamalar: Hacking, Gasp, Haraççılık
“Zeekill” ve “Ryan” olarak da bilinen Kivimäki, Vastaamo’ya bağlı bilgisayar korsanlığı, şantaj ve gasp, insanların özel bilgilerini sızdırma ve delilleri tahrif etme dahil olmak üzere sekiz suçla itham edildi. Ekim 2022’de Helsinki Bölge Mahkemesi, yurtdışında kaldığı bilindiği için gıyaben tutuklanmasına karar verdi ve bir Avrupa tutuklama emri ve Interpol kırmızı bülten çıkardı.
Vastaamo, Kasım 2018 ve Mart 2019’da tıbbi kayıtlar ve mali ayrıntılar da dahil olmak üzere hasta verilerinin çalınmasıyla sonuçlanan veri ihlallerine maruz kaldı. 2020’de klinik kurulu, ilk ihlali araştırırken ikincisinin geç keşfedildiğini bildirdi. Yanıt olarak, şirketin CEO’sunu kovdu.
İhlaller, bilgisayar korsanlarının çalınan verilerin bir kısmını sızdırmaya başlaması ve ek veri sızıntılarını önlemek için Vastaamo’dan bitcoin cinsinden yaklaşık 450.000 Euro (485.000 $) değerinde bir fidye ödemesi talep etmesinden sonra Ekim 2020’de gün ışığına çıktı.
“Ransom Man” adını kullanan bir veya daha fazla gaspçı, hastalarla bireysel olarak iletişime geçerek 24 saat içinde yaklaşık 200 avro (215 dolar) değerinde bir fidye ödemelerini talep etti – 48 saat içinde ödenmezse 500 avroya (540 dolar) yükseldi – özel tıbbi ve finansal detaylarının sızdırıldığını görmek istemedi.
Sonuçta, yaklaşık 25.000 kayıt yayınlandı. Polis, ihlallerde çalınan finansal bilgilerin daha sonra dolandırıcılık yapmak için kullanıldığını söyledi.
KRP olarak bilinen Finlandiya Ulusal Soruşturma Bürosu’nun soruşturmasını yöneten Dedektif Baş Müfettiş Marko Leponen, geçen Ekim ayında Helsinki Times’a verdiği demeçte, “Faile fidye ödeyen kurbanlar hakkında kesin bir bilgimiz yok.”
“Yine de oldukça marjinal meblağlardan bahsediyoruz” diye ekledi. “Bulgularımız, yaklaşık 20-30 kişinin fidyeyi ödediğini gösteriyor.”
The Christian Science Monitor’ün bildirdiğine göre, veri ihlali Finlandiya’nın mahremiyete, çevrimiçi bağlantının güvenliğine ve ayrıca akıl sağlığına ilişkin kamuoyu tartışmalarına bakış açısında bir dönüm noktası oldu.
Siber güvenlik blog yazarı Brian Krebs’in bildirdiği gibi, sızdırılan veriler üzerinde yapılan bir adli tıp incelemesi, Ransom Man’in istemeden bilgisayarlarının ana dizinini veri dökümüne dahil ettiğini ortaya çıkardı ve müfettişler, içerdiği verilerin Kivimäki’nin işin içinde olduğuna işaret ettiğini söyledi.
Geçen Ekim ayında suçlamalar açıklandığında, Kivimäki bir Reddit tartışmasında “nerede olduğum sır değil” dedi ve ekledi: “Sürgünde değilim, sadece Finlandiya’da yaşamıyorum.”
Kendisini Londra merkezli bir yatırımcı olarak listeleyen Twitter hesabı aracılığıyla, Vastaamo ihlali veya şantajıyla herhangi bir ilgisi olduğunu reddetti “Bu konuda hiçbir şey bilmiyorum” diye tweet attı ve konuşmayı teklif ettiğini ekledi. Polis tüm sorularını cevaplamak için telefonla.
Finlandiya polisi, Kivimäki’nin iadesini derhal talep etmeyi planladıklarını söylüyor, ancak bu sürecin ne kadar süreceği belirsiz.
DDoS Saldırılarından Hükümlü
Bu, Kivimäki’nin yasal sorunlarla karşılaştığı ilk durum değil. 2015 yılında, kötü şöhretli DDoS çetesi Lizard Squad bayrağı altında 2012 ve 2013 yıllarında 50.700 dağıtılmış hizmet reddi saldırısı gerçekleştirmekten suçlu bulundu.
Ancak o sırada sadece 15 ve 16 yaşında olduğu için – Finlandiya’daki yasal yetişkinlik yaşı olan 18’in altında – iki yıl ertelenmiş hapis cezasına çarptırıldı. Kivimäki, küçük bir para cezası ödemenin yanı sıra tüm internet kullanımının geçici olarak izlenmesini de kabul etti (bkz.: Genç Hackerlar: Hapis Süresi Uygun mu?).
Vastaamo, Privacy Watchdog tarafından para cezasına çarptırıldı
İki veri ihlalinin ardından Vastaamo, Şubat 2021’de iflas ilan etti.
Aralık 2021’de Finlandiya’nın Veri Koruma Ombudsmanı, çok sayıda özel veri soruşturması nedeniyle Vastaamo’ya 608.000 Euro (655.000 $) idari para cezası verdi.
Finlandiya’nın AB’nin Genel Veri Koruma Yönetmeliği’ne uygunluğu uygulayan gizlilik gözlemcisi, Vastaamo’nun kişisel verilerin güvenli bir şekilde işlenmesi ve kişisel veri ihlallerini bildirme ile ilgili görevlerini ihmal ettiğini söyledi. “Vastaamo, Mart 2019’da hasta verilerinin kaybolduğunu ve bu verilerin harici bir saldırganın eline geçmiş olabileceğini fark etmiş olmalı.” Eylül 2020’ye kadar beklemek yerine gecikmeden denetim makamına ve müşterilerine”.
Veri Koruma Ombudsmanı ayrıca “kişisel verilerin yetkisiz ve yasa dışı işlemeye veya kazara kaybolmaya karşı uygun şekilde korunmadığını ve Vastaamo’nun kişisel verilerin güvenli bir şekilde işlenmesini sağlamak için temel önlemleri uygulamadığını” tespit etti. Ayrıca şirket, yetersiz veri tabanı kaydı ve ağ izleme nedeniyle, saldırganların korumasız, internete bağlı veri tabanına ilk kez nasıl eriştiklerini detaylandıramadı.
“Hasta kayıt veritabanı sızıntısının en olası nedeni, veritabanının kök kullanıcı hesabının parola korumalı olmadığı, veritabanındaki korumasız bir MySQL bağlantı noktasıydı” dedi. “Kullanıcı hesabına herhangi bir IP adresinden veri tabanına giriş hakkı da verilmişti. Hasta kayıt veri tabanı sunucusu en az 26 Kasım 2017 tarihinden 13 Mart 2019 tarihine kadar güvenlik duvarı koruması olmadan internete açıktı. “
İdari para cezası “bir iflasta en düşük öncelikli iddiayı” aldığından, mahremiyet gözlemcisi para cezasının “zararların tazmin edilmesi gibi diğer iflas iddiaları için mevcut fonları azaltmayacağını” söyledi.