Matej OndrišekCourt hands Kivimäki 6-year prison sentence in historic hacking casehttps://t.co/xUmPzOeqRS
— Yle News (@ylenews) April 30, 2024
Keď v októbri 2020 vo Fínsku unikli na internet desaťtisíce dôverných záznamov klientov psychoterapeutickej spoločnosti Vastaamo, krajina bola v šoku. Ministri narýchlo zvolali krízové rokovanie a vystrašení ľudia zahltili linky na podporu duševného zdravia.
Viacerí dostali e-maily s vyhrážkou, že ak nezaplatia 200 eur v bitcoinoch, hacker zverejní ich najosobnejšie rozhovory s terapeutmi. Obeťou útoku boli najzraniteľnejší ľudia vo fínskej spoločnosti vrátane detí.
Výhražnú správu dostala aj bývalá poslankyňa Kirsi Piha, ktorá ju zverejnila na Twitteri, dnes známom ako X, s odkazom: „Na*erte si! Za vyhľadanie pomoci by sme sa nikdy nemali hanbiť.“
Dokopy došlo k odcudzeniu záznamov zhruba 33-tisíc klientov a tisíce z nich boli terčom vydierania, čo je najvyšší počet obetí v jednom kriminálnom prípade v histórii Fínska.
Ten sa tamojším úradom podarilo uzavrieť v apríli, no vo fínskej spoločnosti prevládajú zmiešané pocity. Páchateľ – 26-ročný Aleksanteri Kivimäki – vyviazol s relatívne nízkym trestom, aj keď nešlo o jeho prvý prečin, čo súd nebral do úvahy.
Únik citlivých dôverných informácií mal pritom na Fínsko závažný dosah.
Všetko sa to dialo na začiatku pandémie počas lockdownu. Právnička Jenni Raiskio, ktorá zastupuje 2600 obetí, povedala, že jej firmu oslovili ľudia, ktorých príbuzní si po zverejnení záznamov vzali život. Na súde im vyjadrila úctu minútou ticha.
„Hackerský útok tohto rozsahu bol pre Fínsko katastrofou. Každý poznal niekoho, koho sa únik informácií dotkol,“ uviedol pre BBC odborník na kyberbezpečnosť Mikko Hyppönen.
Zdvorilý vydierač
Spôsob, akým Kivimäki vydieral ľudí ich najosobnejšími informáciami, opísala jedna z jeho obetí Tiina Parikka. V sobotu večer vychádzala zo sauny, keď jej na telefóne píplo upozornenie.
Bol to e-mail od anonymného odosielateľa, ktorý odniekiaľ poznal jej meno, rodné číslo a ďalšie osobné údaje. Parikka si spomína, že ju prekvapil zdvorilý tón správy.
„Vážená pani Parikka,“ oslovil ju odosielateľ a potom Parikke naznačil, že získal jej súkromné informácie zo psychoterapeutického centra. Takmer ospravedlňujúco jej vysvetlil, že kontaktuje priamo ju, pretože spoločnosť Vastaamo ignorovala únik informácií.
Vtedy neznámy si od psychoterapeutickej spoločnosti, ktorá vo Fínsku prevádzkovala 25 stredísk, najskôr pýtal 450-tisíc eur v bitcoinoch.
Potom začal vydierať jednotlivých klientov, od ktorých chcel 200 eur v bitcoinoch, inak sa vyhrážal zverejnením informácií. Ak nezaplatili do 24 hodín, pýtal si 500 eur. Pod e-maily sa podpisoval iba ako „ransom-man“.
„Bol to dusivý pocit,“ povedala Parikka pre BBC. „Sedela som tam v župane s pocitom, že niekto vtrhol do môjho súkromného sveta a snažil sa zarobiť na mojej životnej traume.“
Prvé záznamy klientov unikli v novembri 2018 a bezpečnostné systémy Vastaamo boli narušené do marca 2019.
Niektorí z vydieraných ľudí v obavách poslali peniaze, no potom si uvedomili, že je aj tak už neskoro. Ransom-man totiž omylom celú databázu zverejnil vo fóre na darkwebe.
Nachádza sa tam dodnes.
Odborník na kyberbezpečnosť Hyppönen a jeho kolegovia z firmy WithSecure pomáhali polícii pri zhromažďovaní stôp a začali sa objavovať teórie, že hacker pravdepodobne pochádza z Fínska.
Jedno z najväčších vyšetrovaní v histórii krajiny napokon usvedčilo mladého muža, ktorý už v minulosti skončil v rukách polície, no nie vo väzení.
Pomstychtivý tínedžer
Dnes 26-ročný Aleksanteri Kivimäki, predtým nesprávne identifikovaný krstným menom Julius, začal s hackerskými útokmi ešte ako maloletý. Hovoril si Zeekill a patril ku skupinám tínedžerov, ktorí po roku 2010 spôsobovali chaos svojimi hackerskými aktivitami.
Kivimäkiho polícia prvý raz vyšetrovala v 15 rokoch po tom, ako sa nabúral do viac než 50-tisíc serverov. Použil na to programy, ktoré sám vymyslel.
Pozornosť úradov ho však nezastavila – naopak, vo svojich aktivitách ešte pridal. Nabúral sa napríklad do systémov amerického letectva či vedenia spoločnosti Sony.
V roku 2014 oklamal americkú políciu, aby vykonala raziu v dome rodičov agenta FBI, ktorý vyšetroval Kivimäkiho trestné činy. V tom istom roku spôsobil aj poplach v lietadle American Airlines, keď sa vyhrážal bombovým útokom.
V 17 rokoch súd uznal Kivimäkiho vinným z vyše 50-tisíc hackerských útokov. Vyviazol však iba s dvojročným podmienečným trestom, čo kritizovali viacerí predstavitelia kybernetickej bezpečnosti.
Fínsko je známe svojimi miernymi trestami, no panovali obavy, že Kivimäkiho a jeho komplicov podmienka neodradí, čo sa aj stalo. Na rozdiel od väčšiny hackerov totiž Kivimäki svoje aktivity neskrýval.
„Bol veľmi dobrý v tom, čo robil, a nestaral sa o následky. Vždy pri útokoch zašiel ďalej než ostatní,“ povedal o ňom pre BBC hacker, ktorý s ním spolupracoval. Kivimäki bol podľa neho pomstychtivý tínedžer, ktorý rád predvádzal svoje schopnosti.
Kivimäki si užíval pozornosť – v roku 2014 poskytol rozhovor pre britský spravodajský kanál Sky News, v ktorom nevyjadril žiadnu ľútosť nad svojimi činmi.
O dva roky môže byť na slobode
Fínska polícia označila Kivimäkiho za hlavného podozrivého v októbri 2022, no nikto nevedel, kde sa nachádza.
Vyšetrovateľom trvalo takmer dva roky, kým zhromaždili dostatok dôkazov, aby naňho Interpol vydal takzvané červené oznámenie (v angličtine red notice) pre najhľadanejších zločincov.
Vypátrali ho napokon náhodou, keď polícia v Paríži zašla do jeho bytu po tom, ako dostala falošné oznámenie o narušení pokoja. Zistili však, že Kivimäki žil vo Francúzsku s falošnými dokladmi a vymysleným menom.
Francúzsko ho rýchlo vydalo do Fínska, kde sa začal jeden z najsledovanejších procesov v histórii krajiny. Kivimäki na súde tvrdil, že je nevinný, a občas rozprával vtipy. Dôkazy proti nemu však boli rozsiahle.
Interesting day in Finland. #vastaamo pic.twitter.com/FupGQ9fWWE
— Joe Tidy (@joetidy) January 19, 2024
Vyšetrovanie viedol detektív Marko Leponen, ktorý za kľúčový dôkaz označil prepojenie Kivimäkiho bankového účtu so serverom, ktorý bol použitý na odcudzenie údajov klientov.
Okrem toho dokázala polícia pomocou nových forenzných techník získať Kivimäkiho odtlačok prsta z fotografie, ktorú pod pseudonymom zverejnil na internete.
„Podarilo sa nám dokázať, že osobou, ktorá anonymne zverejnila túto fotografiu, bol Kivimäki. Dokazuje to, že musíte využiť všetky možnosti, ktoré máte, a skúšať aj opatrenia, ktoré nepoznáte,“ povedal pre BBC Leponen.
Súd uznal Kivimäkiho vinným z viac než 30-tisíc trestných činov – každý za jednu obeť. Bol obvinený z porušenia ochrany osobných údajov, pokusov o vydieranie, 9213 prípadov šírenia informácií zasahujúcich do súkromia a 20 prípadov vydierania s priťažujúcimi okolnosťami.
Kivimäki dostal trest väzenia na šesť rokov a tri mesiace, no podľa fínskych médií bude pravdepodobne vonku z väzenia už v apríli 2026.
Časť trestu si už totiž odsedel počas vyšetrovania a podľa fínskych zákonov je napriek predošlému podmienečnému trestu považovaný za osobu, ktorá doteraz nebola odsúdená.
Súd preto nebral jeho predošlé prečiny do úvahy.
Spoločnosť zanikla
Kivimäkiho obhajca Peter Jaari uviedol, že jeho klient sa plánuje proti rozhodnutiu odvolať.
Verdikt je v rámci mierneho fínskeho právneho systému takmer maximom z toho, čo navrhoval prokurátor. Ten žiadal pre Kivimäkiho sedemročný trest.
Pre obete ako Tiina Parikka je však trest ďaleko od spravodlivého.
„33-tisíc ľudí je veľmi veľa obetí. Rôznymi spôsobmi to zasiahlo toľko ľudí. Ovplyvnilo to naše zdravie a niektorí sa stali aj terčom finančných podvodov s využitím ukradnutých údajov,“ povedala pre BBC.
Parikka aj ďalší ľudia čakajú, či z prípadu vyplynie odškodné. Viacero obetí plánuje na Kivimäkiho alebo spoločnosť Vastaamo podať občianskoprávne žaloby.
Psychoterapeutická spoločnosť už zanikla, po úniku údajov klientov jej fínsky Úrad na ochranu osobných údajov dal pokutu 608-tisíc eur. Riaditeľ spoločnosti Ville Tapio dostal trojmesačný podmienečný trest.
Prípad masového úniku osobných údajov vo Fínsku otvoril aj debatu o možných zmenách zákonov. Právnička Jenni Raiskio tvrdí, že prípad poukázal na nepripravenosť systému na taký počet obetí.
„Dúfam, že dôjde k zmene. Týmto sa to nekončí,“ hovorí.
Máte pripomienku alebo ste našli chybu? Prosíme, napíšte na [email protected].
