12 miljoonan henkilötiedot vaarassa — teini mursi Ranskan henkilöllisyysviraston
Tiivistelma
15-vuotias hakkeri mursi Ranskan kansallisen henkilöllisyysviraston ANTS:n tietojärjestelmän, ja 11,7 miljoonan käyttäjän henkilötiedot päätyivät myyntiin rikollisfoorumille. Murto paljastaa, kuinka haavoittuvaisia valtioiden identiteettijärjestelmät voivat olla — ja muistuttaa suomalaisia Vastaamo-tapauksen opeista.
Ranskan valtion henkilöllisyysvirasto murtui. 11,7 miljoonaa kansalaista menetti tietonsa. Epäilty on 15-vuotias.
Tapaus on yksi Euroopan historian suurimmista valtiollisen identiteettijärjestelmän tietomurroista.
Mitä tapahtui
ANTS (Agence Nationale des Titres Sécurisés) vastaa Ranskassa passien, henkilökorttien, oleskelulupien ja ajokorttien käsittelystä.
Tunkeutuminen havaittiin 15. huhtikuuta. Ranskan sisäministeriö vahvisti murron 20. huhtikuuta.
The Record kertoo, että hyökkääjä käytti nimimerkkiä "breach3d" ja mainosti varastettuja tietoja BreachForums-rikollisfoorumilla. Myynnissä oli hänen mukaansa 12–19 miljoonaa tietuetta.
Ranskan poliisi pidätti epäillyn 25. huhtikuuta. Hän on 15-vuotias.
Pariisin syyttäjävirasto avasi virallisen tutkinnan 29. huhtikuuta.
Syytteet koskevat luvatonta tietojärjestelmään tunkeutumista, tietojen irrottamista ja välittämistä sekä murtautumistyökalujen hallussapitoa. Enimmäisrangaistus on seitsemän vuotta vankeutta ja 300 000 euron sakko.
Mitään erityistä teknistä osaamista ei raportoitu.
Teinin ei tiedetä käyttäneen poikkeuksellisia menetelmiä.
Mitä tietoja vuosi
Murto paljasti kirjautumistunnukset, koko nimet, sähköpostiosoitteet, syntymäajat, puhelinnumerot, postiosoitteet, syntymäpaikat ja yksilölliset tilitunnisteet.
The Register kertoo, ettei vuotoon sisältynyt asiakirjaskannauksia, valokuvia tai biometrisiä tietoja.
Biometristen tietojen puuttuminen on oikeastaan ainoa helpotus koko tapauksessa.
Silti vuodetut tiedot riittävät todella moneen.
Nimi, syntymäaika, osoite, puhelin ja sähköposti muodostavat yhdessä paketin, jolla onnistuu kohdennettu kalastelu, SIM-kortin kaappaus ja petostarkoituksessa luodut tilit. Tiedot toimivat myös yli valtiorajojen EU:n sisällä.
Kuvittele tilanne: saat sähköpostin, jossa tiedetään nimesi, syntymäaikasi ja kotiosoitteesi. Viestissä pyydetään vahvistamaan henkilöllisyys pankkitunnuksilla. Kuinka moni pysähtyy epäilemään?
11,7 miljoonaa käyttäjätiliä vastaa noin kolmasosaa Ranskan väestöstä. Kyseessä on yksi suurimmista valtiolliseen identiteettijärjestelmään kohdistuneista tietomurroista Euroopan historiassa.
Miksi suomalaisten pitäisi välittää
Onko Suomen oma digitaalinen identiteetti-infrastruktuuri turvassa vastaavalta hyökkäykseltä?
Digi- ja väestötietovirasto (DVV) hallinnoi Suomi.fi-palvelua, joka on suomalaisten digitaalisen asioinnin ydin. DVV:n järjestelmillä on ISO/IEC 27001 -sertifiointi ja aktiivinen bug bounty -ohjelma, jolla tietoturvatutkijat voivat raportoida haavoittuvuuksia ennen kuin rikolliset löytävät ne.
Vastaavaa murtoa suomalaisiin identiteettijärjestelmiin ei ole raportoitu.
Mutta Suomessa tiedetään hyvin, mitä henkilötietojen laajamittainen vuoto aiheuttaa.
Vastaamo-tietomurto vuosina 2018–2019 paljasti yli 40 000 potilaan tiedot, henkilötunnukset mukaan lukien. Tietoja käytettiin yksittäisten uhrien kiristykseen.
Aleksanteri Kivimäki tuomittiin huhtikuussa 2024 yli kuuden vuoden vankeuteen.
Vastaamo-tapaus johti lainsäädäntöuudistukseen, joka mahdollistaa henkilötunnuksen vaihtamisen tietomurron jälkeen.
Ranskan murto osoittaa, että vastaava riski on olemassa kaikkialla.
TechCrunchin analyysin mukaan valtiolliset identiteettijärjestelmät ovat houkuttelevia kohteita, koska ne sisältävät kattavat tiedot suuresta osasta väestöä.
– Tämän murron vakavuutta ei voi aliarvioida, ja tutkinta etenee täydellä teholla, Pariisin syyttäjävirasto toteaa tiedotteessaan.
Ranskan tapaus on varoittava esimerkki. Edes teini-ikäinen hyökkääjä ilman poikkeuksellista osaamista ei jäänyt viraston porttien ulkopuolelle.
Ja jos Ranskan kaltaisen suuren maan kansallinen järjestelmä murtuu, mikään ei takaa, ettei sama voi tapahtua muualla.
Mitä tehdä
Vaikka murto kohdistui ranskalaiseen järjestelmään, identiteettivarkauden riskit eivät noudata maiden rajoja. Vuodetut tiedot voivat päätyä hyvin nopeasti kansainvälisille rikollisfoorumeille, joissa niitä käytetään EU-laajuisiin huijauksiin.
Näillä keinoilla suojaat omia tietojasi:
Käytä vahvoja ja yksilöllisiä salasanoja jokaisessa palvelussa.
Salasananhallintaohjelma tekee tästä ihan helppoa.
Ota kaksivaiheinen tunnistautuminen käyttöön kaikissa palveluissa, joissa se on mahdollista — erityisesti Suomi.fi-valtuutuksissa ja pankkipalveluissa.
Tarkkaile omaa luottotietorekisteriäsi. Suomessa voi tehdä vapaaehtoisen luottokiellon Bisnode/Dun & Bradstreet -palvelussa.
Jos epäilet henkilötietojesi joutuneen vääriin käsiin, ilmoita asiasta tietosuojavaltuutetulle ja harkitse henkilötunnuksen vaihtamista DVV:n kautta.
Varo kohdennettuja kalasteluviestejä. Jos saat viestin, jossa on sinun oikeat tietosi ja pyyntö toimia nopeasti, se on melko varmasti huijaus.
Ilmoita kaikista identiteettivarkauden yrityksistä poliisille osoitteessa poliisi.fi ja Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Rikosuhripäivystys auttaa numerossa 116 006.
Ranskan murto muistuttaa siitä, ettei mikään järjestelmä ole varsin murtamaton. Paras suoja on edelleen se, että jokainen pitää huolta omien tietojensa turvallisuudesta — riippumatta siitä, miten hyvin valtion järjestelmät on suojattu.