Kun Kivimäelle selvisi, että Vastaamon tietokannassa oli tällaisia haavoittuvuuksia, hän syyttäjän mukaan loi yhteyden Vastaamon MySQL-palvelimeen käyttämällä hänelle kuulumatonta käyttäjätunnusta ja salasanaa. Tämän jälkeen hän latasi itselleen Vastaamon potilastietokannan.

Kivimäki on tietysti ihan suoraan kusipää kun ryhtyi kiristämään saamillaan tiedoilla, mutta jotenkin tuntuu että Vastaamon rooli tässä tietomurrossa on jätetty uutisoinnissa melko vähälle.

Ne, jotka eivät tiedä, MySQL on siis tietokantamoottori ja yleisesti ottaen yhtään mikään tietokantapalvelin missään ei ole tavoitettavissa suoraan julkisesta internetistä, vaan välissä on palomuureja ja muuta suojausta. Tämän lisäksi tuo “hänelle kuulumaton käyttäjätunnus ja salasana” on ollut luokkaa admin/admin, jolloin voisi ainakin semanttisesti väittää, että Kivimäki on käyttänyt ihan omaa salasanaansa, se nyt on vain sattunut kelpaamaan myös Vastaamon tietokantaan.

Koko touhu on tietysti henkilötasolla aiheuttanut monta melkoisen paskaa tilannetta, mutta näin IT-alan hommissa kovasti toivoisi että asian ympäriltä nostettaisiin pöydälle näkyvästi myös se fakta, että tuon tietokannan suojaus on samaa tasoa kuin kaupan takahuoneen lukitsematon ovi, jossa on tarra ‘vain henkilökunnalle’.

  • reksas
    link
    fedilink
    suomi
    arrow-up
    3
    ·
    edit-2
    1 year ago

    Ainakin se hyvä puoli tuossa vastaamon tapauksessa on, että sitä voi käyttää esimerkkinä jota ei voi sivuttaa, kun pitää perustella tietokoneista mitään ymmärtämättömälle johdolle miksi tietoturvaan kannattaa kiinnittää edes jotain huomiota. Ikävä vain kun pitää aina tämmöisen kautta mennä eikä voida suoraan miettiä asioita järkevästi. Pitäisi alkaa olla joku velvollisuus ymmärtää edes perusteet tietotekniikasta jos haluaa olla missääm päättävässä asemassa, missä on tekemisissä tietotekniikan kanssa ollenkaan.