Psykoterapiakeskus Vastaamon kiristäjä teki yhden virheen. Kun Vastaamo ei suostunut maksamaan lunnaita, hän rakensi järjestelmän, jonka tarkoituksena oli julkaista joka vuorokausi tiettyyn aikaan sata uutta potilastietoa Tor-verkkoon.
Potilastietojen lisäksi verkkoon päätyi kuitenkin myös tietoja, jotka johdattivat poliisin kiristäjän jäljille.
Keskusrikospoliisi julkisti tänään perjantaina yli 2000-sivuisen esitutkintamateriaalin osittain salattuna puolustuksen vaatimuksesta.
Vastaamon tietomurron uhriksi joutui yli 33 000 asiakasta, joiden henkilötietoja ja terapiaistuntojen muistiinpanoja tietomurtaja julkaisi.
Rikoksista epäillyltä Aleksanteri Kivimäeltä kysyttiin poliisikuulusteluissa mielipidettä Vastaamon potilastietokannan julkaisemisesta.
– Mielestäni se on aika kelju temppu, hän vastasi.
Kivimäki on koko ajan kiistänyt syyllistyneensä rikoksiin.
Esitutkinnan mukaan poliisi pääsi tietomurtajan jäljlille, kun tämä jakoi vahingossa potilastietojen mukana verkkoon potilastietojen säilytyksessä käytetyn palvelimen kotihakemiston. Kotihakemisto sisältää muun muassa tietoja ohjelmistojen käyttämisestä.
Nämä tiedot johdattivat poliisin ensin Tuusulassa sijaitsevaan palvelinsaliin ja myöhemmin syvälle palvelimien, ip-osoitteiden ja maksuliikenteen muodostamaan verkostoon.
Esitutkintamateriaalissa poliisi vetää tästä verkostosta useita säikeitä tietomurto- ja kiristysjutussa epäiltyyn Kivimäkeen.
Osa palvelinmaksuista on maksettu Kivimäen luottokortilla. Yhteen potilastietokannan sisältäneeseen palvelimeen on oltu yhteydessä ip-osoitteesta, jonka kautta Kivimäki oli suorittanut maksuja aikuisviihteestä tunnetulle Onlyfans-sivustolle. Saman ip-osoitteen kautta oli tehty varaus hotelli Kämppiin, jossa Kivimäki yöpyi. Poliisi yhdisti ip-osoitteen myös Kivimäen käyttämään ssh-avaimeen, jota käytetään tunnistautumisessa.
Poliisi on onnistunut yhdistämään Kivimäen myös välikäsien kautta tehtyihin palvelinmaksuihin. Esimerkiksi yksi Paypalilla maksettu lasku johdatti poliisin Deng Haitao -nimisen henkilön jäljille. Kuulusteluissa Kivimäki oli kertonut ostaneensa kiinalaismieheltä palvelua, jossa Kivimäki maksoi virtuaalivaluutoilla miehelle siitä, että tämä maksoi laskuja hänen puolestaan.
Kivimäki toimitusjohtajana internetiä skannaavassa yrityksessä
Kuulusteluissa Kivimäki kertoi toimineensa Scanifi-nimisen yrityksen toimitusjohtajana. Hänen mukaansa Scanifin liiketoimintamalli oli etsiä internetistä haavoittuvuuksia ja kertoa niistä tietoa yrityksille.
Poliisin esitutkintamateriaalin mukaan tietomurrosta epäilty harjoitti skannaustoimintaa, jonka tarkoituksena oli etsiä internetissä avoimena olevia tai oletussalasanalla suojattuja tietokantoja ja tallentaa näiden tietokantojen IP-osoitteet, käyttäjätunnukset ja salasanat.
Tietomurtoa varten oli ohjelmoitu työkalu, jolla skannaustoiminta toteutettiin.
Esitutkintamateriaalin mukaan Vastaamon potilastietokannan ip-osoitteeseen kohdistui poikkeuksellista liikennettä 26.11.2018. Verkkoliikennettä monitoroivan netflow-datan perusteella tuolloin kello 06:41:56 Mullvad-nimisen VPN-palvelun ip-osoiteavaruudesta oltiin yhteydessä Vastaamon palvelimeen.
Poliisi epäilee, että 7 minuutin ja 19 sekunnin aikana Vastaamon potilastiedot siirtyivät kiristäjän haltuun.
Tietoteknisessä tutkinnassa poliisi löysi potilastiedot sisältävältä palvelimelta rivin, jossa luki Dump completed on 2018-11-26 4:50:40. Kun tietokannan lataamisen ajankohta siirretään samalla aikavyöhykkeelle netflow-datan kanssa latauksen aloitus tapahtui kello 04:41:56
Kuulusteluissa Kivimäki kertoi käyttävänsä Mullvadin VPN-palvelua.
Poliisi ei usko kaikkien potilastietojen levinneen verkkoon
Esitutkintamateriaalista ilmenee, että potilastietoja sisältäneeltä palvelimelta oli tehty muun muassa poliisin liittyviä hakuja. Pari minuuttia viimeisen hakukerran jälkeen Kivimäki julkaisi nimimerkillään Ylilauta-sivustolla viestin, jossa hän totesi, että kiristäjä ”postas juuri listan vastaamon asiakkaina olleita poliiseja torilaudalle”.
Kivimäki kiisti kuulusteluissa tehneensä hakuja.
Palvelimen komentohistoriasta löytyi myös haut Kivimäen kotiosoiteelle ja postinumeroalueelle. Muita hakutermejä olivat muun muassa raisk, fants, toimitusj, ministeri, pedof, politiikas, kansaned ja puolue.
Poliisi pitää epätodennäköisenä, että alkuperäinen potilastietokanta olisi kokonaisuudessaan päätynyt muiden haltuun. Tor-verkossa vajaat kaksi tuntia ladattavissa ollut vastaamo.tar -paketti sisälsi osan Vastaamon potilastietokannasta. Lisäksi se sisälsi kaikki potilastietokannasta luodut tekstitiedostot, joista osa oli jo aiemmin julkaistu Tor-verkossa.
– Tor-verkon nopeus vaihtelee, mutta on epätodennäköistä, että kukaan olisi ehtinyt 1h 41min aikana lataamaan koko vastaamo.tar -pakettia, esitutkintamateriaalissa kirjoitetaan.
Useita osoitteita monissa maissa
Vastaamon tietomurto- ja kiristysjutussa epäilty Kivimäki kertoi poliisikuulusteluissa asuneensa useissa eri maissa vuosina 2018 – 2023.
Kuulusteluissa Kivimäki kertoi asuneensa Espanjassa, Britanniassa, Arabiemiraateissa, Ukrainassa, sitten taas Britanniassa ja Ranskassa.
– Näissä paikoissa asuessani minusta jää aika pieni jälki, kun en käytä julkisia palveluita vaan yksityistä terveydenhuoltoa ja muuta. Enkä ole käynyt missään rekisteröitymässä. En sen takia että yrittäisin piiloutua vaan esimerkiksi Espanjassa asukkaaksi pitäisi rekisteröityä, mutta se on hankalaa, Kivimäki sanoi kuulustelussa.
Kivimäki löytyi alkuvuodesta Pariisista poliisin kotihälytyskeikalla. Hän esitti viranomaisille romanialaiset henkilöpaperit. Kivimäki luovutettiin Suomeen, ja hänet vangittiin.
Nyt Kivimäkeä syytetään Länsi-Uudenmaan käräjäoikeudessa törkeästä kiristyksestä ja sen yrityksestä, törkeästä tietomurrosta sekä törkeästä yksityiselämää loukkaavasta tiedon levittämisestä. Jutun käsittely on jo alkanut valmisteluistunnolla.
Syyttäjät vaativat Kivimäelle seitsemän vuoden ehdotonta vankeusrangaistusta.
Kuulusteluissa Kivimäeltä kysyttiin hänen kantaansa osallisuudesta Vastaamon tietomurtoon.
– Ei minulla ole minkäänlaista osallisuutta, Kivimäki vastasi.
Kivimäki on kuulustelujen mukaan ollut liikkeellä paljon ja käyttänyt useita eri asuntoja.
– Espanjassa asunut Barcelonassa, Lontoossa mulla on ollut neljä eri asuntoa, joista te tiedätte pitkäaikaisimman. Arabiemiraateissa asuin hotelleissa, Kiovassa en millään muista osoitetta. Ranskassa taas vaihdellut paikkaa niin paljon, liikuttiin jatkuvasti paikasta toiseen enkä juurikaan tehnyt nettitilauksia, joten osoitteet eivät jääneet mieleen. Ranskassa piti henkilökohtaisesti vastaanottaa paketti ja jos ei itse ollut paikalla niin sitä ei välttämättä saanut koskaan.
Ruoka- ja asumiskulujaan Kivimäki kertoi maksaneensä lähinnä käteisellä. Käteisvarojaan hän kuvaili kuulusteluissa säilyttävänsä ”yleensä pinossa”.
– Välillä se on sellainen epätasainen kasa. En sillain, että kantaisin jotain kassakaappia mukana, se olisi haastavaa.
Jutun pääkäsittely alkaa oikeudessa 13. marraskuuta ja sille on varattu 28 istuntopäivää helmikuun 2024 loppuun asti.
Kivimäkeä kuullaan oikeudessa vasta tammikuussa.