Hyppää sisältöön
Hyppää sisältöön
Etusivulle
Hyvinvointialueet

Pirhan käyttämässä salasananvaihtopalvelussa tietoturvaloukkaus

Hyvinvointialue on tehnyt tietoturvaloukkauksesta ilmoituksen tietosuojavaltuutetulle ​4. helmikuuta.

Miehen kädet näppäilevät läppärin näppäimistöä.
Salasananvaihtoon tarkoitetussa Passu-palvelussa havaittu virhe on Pirhan mukaan korjattu helmikuun alussa. Passu otettiin testauksen jälkeen uudelleen käyttöön 6. helmikuuta. Kuvituskuva. Kuva: Kristiina Lehto / Yle
  • Anni Hyypiö

Pirkanmaan hyvinvointialueella on havaittu tietoturvaloukkaus.

Pirhalla havaittiin alkuvuodesta virhe Passu-salasananvaihtopalvelussa, jossa voi vaihtaa uuden salasanan käyttäjätunnukseen.

Virheen vuoksi käyttäjän suomi.fi-kirjautuminen on voinut jäädä voimaan 32 minuutin ajaksi. Virhe on korjattu helmikuussa ja asiasta on tehty ilmoitus tietosuojavaltuutetulle, hyvinvointialue kertoo tiedotteessa.

Tietoturvaloukkaus on voinut koskea niitä hyvinvointialueen työntekijöitä, opiskelijoita, vuokratyöntekijöitä, ostopalvelutuottajia ja päättäjiä, jotka ovat vaihtaneet hyvinvointialueen salasanan itselleen Passu-palvelussa yhteiskäyttöisellä laitteella ajalla 11.6.2024–30.1.2025.

Palvelua on käyttänyt tuona aikana noin 3 500 henkilöä, joista 2 000 voidaan Pirhan mukaan tavoittaa henkilökohtaisesti.

Luottamuksellisia tietoja voinut näkyä ulkopuoliselle

Virheestä on voinut olla käyttäjälle haittaa, jos hän ei ole poistanut yhteisesti käytössä olevasta laitteesta selaustietoja ja sulkenut käyttämäänsä selainta salasanan vaihdon jälkeen.

Kirjautuminen on jäänyt voimaan, vaikka käyttäjä olisi kirjautunut ulos palvelusta Kirjaudu ulos -painikkeen kautta ja selain olisi ilmoittanut, että uloskirjautuminen on onnistunut.

Virheen vuoksi joku toinen on voinut nähdä luottamuksellisia tietoja, jotka ovat verkossa suomi.fi-kirjautumisen takana, koska toinen henkilö on voinut jatkaa työskentelyä samalla selaimella 32 minuutin sisällä kirjautumisesta.

Jos Passu-palvelua on käyttänyt aina henkilökohtaisella laitteella, virheen hyödyntämismahdollisuus on Pirhan mukaan hyvin pieni.

Toimi näin, jos epäilet tietojesi päätyneen vääriin käsiin

Digi- ja väestötietovirastolta (DVV) voi pyytää suomi.fi-palvelun omia käyttölokitietoja. Vapaamuotoisen käyttölokitietopyynnön voi toimittaa viraston kirjaamoon sähköpostilla tai kirjepostina.

Jos riski identiteettivarkaudelle on kohonnut esimerkiksi ammatin tai julkisen aseman vuoksi, tai huomaa henkilötietojen käsittelyssä jotain normaalista poikkeavaa, tietoja suojatoimista saa Tietosuojavaltuutetun toimiston verkkosivuilta.