การรั่วไหลของข้อมูล Vastaamo
| วันที่ |
|
|---|---|
| ที่ตั้ง |
|
| พิมพ์ | การโจมตีทางไซเบอร์ การรั่วไหลของข้อมูล มัลแวร์เรียกค่าไถ่ |
| เป้า | วาสตาโม |
| ถูกตัดสินว่ามีความผิด | อเล็กซานเทรี คิวิแมกิ |
Vastaamoเป็น ผู้ให้บริการ จิตบำบัด เอกชนของฟินแลนด์ ที่ก่อตั้งขึ้นในปี 2551 [ 1 ] เมื่อวันที่ 21 ตุลาคม 2563 Vastaamo ประกาศว่าฐานข้อมูลผู้ป่วยของตนถูกแฮ็ก ข้อมูลส่วนตัวที่ผู้กระทำความผิดได้รับนั้นถูกนำไปใช้เพื่อพยายามข่มขู่ Vastaamo และต่อมาก็ข่มขู่ลูกค้าของบริษัท[ 2 ]ผู้ข่มขู่เรียกร้องเงิน 40 บิตคอยน์ซึ่งมีมูลค่าประมาณ 450,000 ยูโรในขณะนั้น และขู่ว่าจะเผยแพร่บันทึกหากไม่จ่ายค่าไถ่ เพื่อเพิ่มแรงกดดันให้กับข้อเรียกร้อง ผู้ข่มขู่ได้เผยแพร่บันทึกผู้ป่วยหลายร้อยรายการต่อวันบนกระดานข้อความ Tor
หลังจากความพยายามกรรโชกบริษัทล้มเหลว ผู้กรรโชกได้ส่งอีเมลไปยังลูกค้าที่พวกเขาได้ข้อมูลมา โดยเรียกร้องให้จ่ายค่าไถ่เพื่อหลีกเลี่ยงการเผยแพร่ข้อมูลส่วนบุคคลที่ละเอียดอ่อนของพวกเขา[ 3 ] [ 4 ] [ 5 ] [ 6 ]ข้อเรียกร้องค่าไถ่นี้ถูกส่งไปยังเหยื่อประมาณ 30,000 ราย[ 6 ]พบว่าแนวปฏิบัติด้านความปลอดภัยของบริษัทไม่เพียงพอ: ข้อมูลที่ละเอียดอ่อนไม่ได้ถูกเข้ารหัสและทำให้เป็นนิรนาม[ 7 ] [ 6 ]และระบบรูทไม่มีรหัสผ่านที่กำหนดไว้[ 8 ] [ 9 ] [ 10 ]บันทึกผู้ป่วยถูกเข้าถึงโดยผู้บุกรุกเป็นครั้งแรกในเดือนพฤศจิกายน 2018 ในขณะที่ช่องโหว่ด้านความปลอดภัยยังคงมีอยู่จนถึงเดือนมีนาคม 2019 [ 5 ]
ในเดือนธันวาคม พ.ศ. 2564 หน่วยงานคุ้มครองข้อมูลของฟินแลนด์ (DPA) ได้ปรับ Vastaamo เป็นเงิน 608,000 ยูโรฐานละเมิดข้อกำหนดของระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) [ 9 ] [ 10 ]การโจมตีทางไซเบอร์ครั้งนี้กลายเป็นคดีอาญาที่ใหญ่ที่สุดในประวัติศาสตร์ของฟินแลนด์ นอกจากนี้ยังกลายเป็นเรื่องอื้อฉาวระดับนานาชาติและการโจมตีทางไซเบอร์ที่ไม่เคยเกิดขึ้นมาก่อนในขอบเขตดังกล่าว เนื่องจากกลยุทธ์ที่เรียกว่าการกรรโชกซ้ำซ้อนที่อาชญากรไซเบอร์นำมาใช้[ 11 ]
เมื่อวันที่ 28 ตุลาคม 2022 สำนักงานสอบสวนแห่งชาติ ได้ระบุชื่อผู้ต้องสงสัยที่อยู่เบื้องหลังการละเมิดข้อมูลว่าเป็นนาย Aleksanteri Kivimäkiอายุ25 ปี[ 12 ] [ 13 ] Kivimäki ถูกฟ้องร้องในศาลแขวงเฮลซิงกิในข้อหาละเมิดข้อมูลอย่างร้ายแรง พยายามกรรโชกทรัพย์อย่างร้ายแรง เผยแพร่ข้อมูลที่เป็นการละเมิดชีวิตส่วนตัวอย่างร้ายแรง แบล็กเมล์ ละเมิดความลับ และปลอมแปลงหลักฐาน[ 12 ] [ 14 ]มีการออกหมายจับ Kivimäki ต่อ Europol และ Interpol โดยระบุว่าเขาอยู่ในดูไบ [ 14 ] [ 13 ] ในปี 2015 Kivimäki ซึ่งขณะนั้นเป็นสมาชิกของLizard Squadถูกตัดสินว่ามีความผิดในข้อหาอาชญากรรมทางคอมพิวเตอร์มากกว่า 50,000 กระทง[ 13 ] [ 15 ]
คิวิมากิถูกจับกุมในฝรั่งเศสเมื่อวันที่ 3 กุมภาพันธ์ พ.ศ. 2566 [ 16 ]เขาถูกส่งตัวกลับไปยังฟินแลนด์เมื่อวันที่ 24 กุมภาพันธ์[ 17 ]ในเดือนเมษายน พ.ศ. 2567 เขาถูกตัดสินว่ามีความผิดและถูกศาลแขวงเวสเทิร์นอูซิมาตัดสินจำคุก 6 ปี 3 เดือน[ 18 ]
ในเดือนกันยายน พ.ศ. 2568 ศาลอุทธรณ์ฟินแลนด์ได้ปล่อยตัว Kivimäki ออกจากเรือนจำ แม้ว่าจะยืนยันคำพิพากษาลงโทษเขาไว้ก็ตาม[ 19 ] [ 20 ]
ในเดือนกันยายน พ.ศ. 2568 อัยการฟินแลนด์ได้ตั้งข้อหาชาวอเมริกันวัย 28 ปีที่อาศัยอยู่ในเอสโตเนียในข้อหาช่วยเหลือและสนับสนุนการกรรโชกทรัพย์จากผู้ป่วยที่เข้ารับการบำบัด[ 21 ]
พื้นหลัง

Vastaamo เป็นศูนย์ จิตบำบัดเอกชนในเฮลซิงกิก่อตั้งขึ้นในปี 2551 ซึ่งให้บริการด้านสุขภาพจิตแบบส่วนตัวแก่ผู้ป่วย[ 1 ]เป็นบริษัทที่มีศูนย์บำบัด 25 แห่งทั่วประเทศนอร์ดิกที่มีประชากร 5.5 ล้านคน[ 22 ] Vastaamo ดำเนินงานในฐานะผู้รับเหมาช่วงให้กับระบบสาธารณสุขของฟินแลนด์[ 23 ] Ville Tapio อดีตซีอีโอของ Vastaamo ได้รับแจ้งจากแฮ็กเกอร์เป็นครั้งแรกเมื่อวันที่ 28 กันยายน 2020 เขาได้แจ้งหน่วยงานรัฐบาลต่างๆ รวมถึงตำรวจทันที[ 6 ]เมื่อวันที่ 21 ตุลาคม 2020 Vastaamo ประกาศว่าบันทึกการรักษาที่เป็นความลับของผู้ป่วยจิตบำบัดประมาณ 36,000 รายและพนักงาน 400 คน[ 24 ]ถูกบุกรุก[ 11 ]ศูนย์จิตบำบัดได้รับข้อเรียกร้องค่าไถ่ 450,000 ยูโรในสกุล Bitcoin [ 23 ]ฐานข้อมูลผู้ป่วยที่รั่วไหลประกอบด้วยข้อมูลส่วนบุคคลของลูกค้าที่เข้ารับการบำบัดทางจิต เช่น ชื่อเต็ม ที่อยู่บ้าน ที่อยู่อีเมล หมายเลขประกันสังคม ชื่อคลินิกที่พวกเขาได้รับการรักษา และบันทึกของนักบำบัดและแพทย์จากแต่ละเซสชั่น[ 25 ] [ 6 ]
เนื่องจากบริษัทปฏิเสธที่จะจ่ายค่าไถ่ แฮ็กเกอร์จึงใช้นามแฝงว่า “ransom_man” [ 22 ]เผยแพร่บันทึกการสนทนากับนักบำบัดของผู้ป่วยอย่างน้อย 300 ราย[ 26 ]รวมถึงนักการเมืองและเจ้าหน้าที่ตำรวจ[ 27 ]บนฟอรัมสาธารณะผ่านเครือข่าย Torบันทึกการสนทนากับนักบำบัดมีข้อมูลเกี่ยวกับความสัมพันธ์นอกสมรส การพยายามฆ่าตัวตาย และความคิดเกี่ยวกับเด็ก[ 6 ]แฮ็กเกอร์ติดต่อเหยื่อของการละเมิดความปลอดภัยโดยตรงด้วยอีเมลขู่กรรโชกเรียกร้องค่าไถ่ 200 ยูโรที่จ่ายเป็น Bitcoin โดยจะเพิ่มเป็น 500 ยูโรหากไม่จ่ายภายใน 24 ชั่วโมง[ 23 ]ไฟล์ข้อมูลขนาด 10 กิกะไบต์ที่มีบันทึกส่วนตัวระหว่างผู้ป่วยอย่างน้อย 2,000 รายกับนักบำบัดของพวกเขาปรากฏบนเว็บไซต์บน “dark web” [ 22 ]ข้อมูลผู้ป่วยถูกขโมยระหว่างการโจมตีสองครั้ง ซึ่งเริ่มต้นตั้งแต่ปี 2018 การบุกรุกฐานข้อมูลของ Vastaamo ครั้งแรกเกิดขึ้นในเดือนพฤศจิกายน 2018 และระบบถูกเจาะระหว่างปลายเดือนพฤศจิกายน 2018 ถึงเดือนมีนาคม 2019 [ 23 ] [ 5 ] PTK Midco บริษัทโฮลดิ้งที่ Intera Partners บริษัทไพรเวทอิควิตี้ของฟินแลนด์เป็นเจ้าของ ได้เข้าซื้อหุ้น 70% ใน Vastaamo ในเดือนพฤษภาคม 2019 บริษัทได้ขอให้มีการสอบสวนเกี่ยวกับการเข้าซื้อกิจการ และยังขอให้ยกเลิกการเข้าซื้อกิจการของบริษัทและคืนเงินค่าซื้อเนื่องจากไม่เปิดเผยการแฮ็ก[ 27 ]
Ville Tapio ถูกปลดออกจากตำแหน่งประธานเจ้าหน้าที่บริหารของศูนย์จิตบำบัดเมื่อวันที่ 26 ตุลาคม 2020 [ 28 ] Vastaamo ถูกประกาศล้มละลายตามคำตัดสินของศาลแขวงเฮลซิงกิในเดือนกุมภาพันธ์ 2021 [ 10 ]ในช่วงต้นเดือนมีนาคม 2021 พนักงานและบริการของบริษัทถูกโอนไปยัง Verve ซึ่งเป็นผู้ให้บริการด้านสวัสดิการอาชีพ ฐานข้อมูลผู้ป่วยของบริษัทไม่ได้ถูกโอนไปยัง Verve [ 6 ]
ผลกระทบ
การละเมิดความปลอดภัยได้สั่นคลอนความเชื่อมั่นของสังคมที่มีต่อสถาบันต่างๆ ของฟินแลนด์ ละเมิดระบบที่ละเอียดอ่อน และทำลายความเชื่อมั่นในเครือข่ายสังคมออนไลน์ที่ควรได้รับการรักษาความปลอดภัยอย่างเหมาะสม เหยื่อหลายพันคนต้องทนทุกข์ทรมานจากความวิตกกังวล ความไม่มั่นคง และความเครียดจากเหตุการณ์ที่กระทบกระเทือนจิตใจนี้ และผลกระทบทางจิตใจจากเหตุการณ์ดังกล่าวจะคงอยู่ยาวนาน[ 29 ]เหตุการณ์นี้สร้างโอกาสระดับชาติสำหรับการอภิปรายสาธารณะเกี่ยวกับปัญหาสุขภาพจิต[ 29 ]นอกจากนี้ ความอ่อนแอของระบบการดูแลสุขภาพยังถูกเปิดเผยออกมา เหตุการณ์การแฮ็กครั้งนี้ส่งผลกระทบอย่างกว้างขวางต่อภาระผูกพันของอุตสาหกรรมการดูแลสุขภาพในการรักษาความปลอดภัยเครือข่ายและเพิ่มความรับผิดชอบ[ 27 ]การละเมิดความปลอดภัยทำหน้าที่เป็นสัญญาณเตือนสำหรับความปลอดภัยทางไซเบอร์ของฟินแลนด์ ซึ่งต่อมาได้เพิ่มการเตรียมการสำหรับการโจมตีทางดิจิทัลต่อผู้ให้บริการด้านการดูแลสุขภาพทางการแพทย์และสถาบันการศึกษาเอกชน[ 30 ] [ 31 ] การมุ่งเน้นไปที่การสร้างสมดุลระหว่างความพร้อมใช้งานของข้อมูลและการกำกับดูแลข้อมูล[ 25 ]ได้เพิ่มขึ้นพร้อมกับการลงทุนในความปลอดภัยของคอมพิวเตอร์ของบริษัทต่างๆ นับตั้งแต่เกิดเหตุการณ์การแฮ็กขึ้น ผลจากการละเมิดข้อมูล หน่วยงานคุ้มครองข้อมูลของฟินแลนด์ (DPA) เริ่มให้ความสำคัญกับการละเมิด GDPR มากขึ้นและเพิ่มกิจกรรมการบังคับใช้[ 10 ]ผลลัพธ์ของการสอบสวนการละเมิดความปลอดภัย รวมถึงบทลงโทษที่กำหนดขึ้น ถือเป็นจุดอ้างอิงสำหรับการประเมินทางกฎหมายในอนาคต[ 27 ]
การตอบสนองต่อการแฮ็ก
ทันทีหลังจากการแฮ็ก คณะรัฐมนตรีของรัฐบาลฟินแลนด์ได้จัดการประชุมประจำวันพุธเพื่อหารือเกี่ยวกับประเด็นด้านความปลอดภัยทางไซเบอร์ สร้างกฎหมายใหม่เกี่ยวกับความปลอดภัยของข้อมูลและการโจรกรรมข้อมูลส่วนบุคคล และให้คำมั่นว่าจะให้ความช่วยเหลือฉุกเฉินแก่ผู้เสียหาย[ 30 ] [ 32 ]ในปี 2020 มีผู้เสียหายจากการแบล็กเมล์มากกว่า 22,600 ราย ได้เข้าพบองค์กร Victim Support Finland (RIKU) ซึ่งเป็นองค์กรที่ให้คำปรึกษาและให้การสนับสนุนแก่ผู้เสียหายจากอาชญากรรม[ 29 ]องค์กรต่างๆ ในฟินแลนด์ได้จัดตั้งวิธีการช่วยเหลือผู้เสียหายอย่างรวดเร็ว รวมถึงหมายเลขโทรศัพท์ติดต่อโดยตรงของโบสถ์และบริการบำบัด[ 23 ]องค์กรที่ให้บริการสนับสนุนผู้เสียหาย ได้แก่ สภากาชาดฟินแลนด์ หน่วยงานสุขภาพจิตฟินแลนด์ องค์กร Victim Support Finland และคริสตจักร Evangelical Lutheran แห่งฟินแลนด์[ 33 ]นอกจากนี้ บริษัทหลายแห่งที่ทำงานเกี่ยวกับหมายเลขประกันสังคมและการเก็บหนี้ได้ดำเนินการเพื่อช่วยเหลือผู้เสียหายที่ถูกขโมยข้อมูลส่วนบุคคล[ 32 ]เพื่อฟื้นฟูความเชื่อมั่นของประชาชนที่มีต่อรัฐบาลและหน่วยงานต่างๆ รัฐบาลกลางฟินแลนด์ได้ขอให้หน่วยงานของรัฐตรวจสอบให้แน่ใจว่าการประมวลผลและการจัดการข้อมูลส่วนบุคคลมีความปลอดภัยเพื่อลดการรั่วไหลของข้อมูลส่วนบุคคลให้น้อยที่สุด[ 33 ]นอกจากนี้ กระทรวงต่างๆ ยังได้ดำเนินการทบทวนสิ่งที่พวกเขาสามารถทำได้ดีขึ้นภายในหน่วยงานของตนเอง และวิธีการที่พวกเขาสามารถสร้างความมั่นใจให้กับประชาชนเกี่ยวกับความปลอดภัยของข้อมูลส่วนบุคคลของพวกเขา[ 33 ] สำนักงานสืบสวนแห่งชาติของฟินแลนด์ได้นำประมวลกฎหมายอาญาของฟินแลนด์ฉบับใหม่ที่ไม่เคยมีมาก่อนมาใช้ ซึ่งบุคคลสามารถถูกตัดสินว่ามีความผิดฐานละเมิดความเป็นส่วนตัวของเจ้าของข้อมูลเมื่อพวกเขาประมวลผลข้อมูลส่วนบุคคล ไม่ว่าจะโดยเจตนาหรือโดยประมาทเลินเล่ออย่างร้ายแรง และก่อให้เกิดความเสียหายหรือความไม่สะดวกอย่างมากแก่เจ้าของข้อมูล[ 27 ]ยิ่งไปกว่านั้น รัฐบาลฟินแลนด์ได้เร่งออกกฎหมายที่อนุญาตให้พลเมืองเปลี่ยนรหัสประจำตัวส่วนบุคคลของตนได้เมื่อมีการละเมิดข้อมูลซึ่งอาจมีความเสี่ยงสูงต่อการโจรกรรมข้อมูลส่วนบุคคล[ 27 ]
ผลที่ตามมาทางกฎหมาย
ในเดือนกุมภาพันธ์ พ.ศ. 2566 Aleksanteri Kivimäki อายุ 25 ปี ถูกส่งตัวจากฝรั่งเศสไปยังฟินแลนด์ ตั้งแต่นั้นมาเขาถูกควบคุมตัวในข้อหาที่เกี่ยวข้องกับการแฮ็กบันทึกผู้ป่วยจากศูนย์จิตบำบัด Vastaamo [ 34 ]
ในเดือนเมษายน พ.ศ. 2566 ศาลแขวงเฮลซิงกิได้ตัดสินลงโทษอดีตซีอีโอของ Vastaamo คือ Ville Tapio ให้จำคุก 3 เดือนโดยรอลงอาญา เขาถูกตัดสินว่ามีความผิดในข้อหาละเมิดการคุ้มครองข้อมูลตามที่กำหนดไว้ในระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) [ 35 ]
ในเดือนธันวาคม พ.ศ. 2568 ศาลอุทธรณ์เฮลซิงกิมีมติเป็นเอกฉันท์ยกฟ้องอดีตซีอีโอ Ville Tapio จากข้อกล่าวหาทั้งหมด โดยพบว่ามีหลักฐานไม่เพียงพอเกี่ยวกับความประมาทเลินเล่ออย่างร้ายแรงที่จำเป็นสำหรับความรับผิดทางอาญา[ 36 ]
ในเดือนตุลาคม พ.ศ. 2566 Aleksanteri Kivimäki ถูกตั้งข้อหาขโมยบันทึกของผู้ป่วยจิตบำบัดและกรรโชกทรัพย์มากกว่า 21,000 ครั้ง[ 37 ]การพิจารณาคดีของเขามีกำหนดจะเริ่มในวันที่ 13 พฤศจิกายน[ 37 ]
ในเดือนเมษายน พ.ศ. 2567 Aleksanteri Kivimäki ถูกตัดสินจำคุก 6 ปี 3 เดือน[ 38 ] Petteri Järvinenนักเขียนและที่ปรึกษาด้านเทคโนโลยีสารสนเทศได้ใช้โทษจำคุกที่ค่อนข้างเบานี้เป็นหลักฐานว่าอาชญากรรมไซเบอร์มักไม่มีผลร้ายแรงต่อผู้กระทำผิดในฟินแลนด์ แม้ว่าเหยื่อจะได้รับผลกระทบจากผลดังกล่าวไปตลอดชีวิตก็ตาม[ 39 ]
ในเดือนกันยายน พ.ศ. 2568 ศาลอุทธรณ์เฮลซิงกิได้ปล่อยตัว Kivimäki จากการควบคุมตัว[ 20 ]ศาลอ้างถึงระยะเวลาอันยาวนานที่เขาถูกควบคุมตัวก่อนการพิจารณาคดีเป็นเหตุผลในการปล่อยตัวเขา[ 20 ]