Mikko Hyppönen MTV:lle: Yli 200 000 suomalaista koskeneen tietovuodon kaltaisia hyökkäyksiä on vaikea estää kokonaan

Tietoturva-asiantuntija Mikko Hyppösen mukaan LinkedIn-vuodossa ei todennäköisesti ole saatu arkaluontoisia tietoja. Hänen mukaansa verkkopalveluita voi ja kannattaa jatkossakin käyttää. 

Tietoturva-asioihin perehtynyt suomalaisyritys F-Secure kertoi viime viikon torstaina Twitterissä, että peräti .

Vuodetuissa tiedoissa on käyttäjien nimiä, puhelinnumeroita ja sähköpostiosoitteita.

Vaikka tietoja on vuodettu paljon, asia saattaa kuulostaa pahemmalta kuin se todellisuudessa onkaan.

Tietoja hankittu "skreippaamalla"

Tietoturva-asiantuntija Mikko Hyppösen mukaan tällä hetkellä näyttää siltä, että kyseessä ei ole varsinainen hakkerointi tai tietomurto. Hänen mukaansa LinkedIn-tietovuodossa käyttäjien tietoja on kerätty ”skreippaamalla”. 

Tämä tarkoittaa sitä, että tässä tapauksessa LinkedInistä saadaan automatiikan avulla tietoja, jotka eivät välttämättä näy muille käyttäjille. Eli kyse on tiedoista, jotka käyttäjä on itse syöttänyt järjestelmään, mutta jotka eivät välttämättä näy muille käyttäjille. 

– Eli saadaan suuria tietomääriä – eli sieltä ei viedä käyttäjien salasanoja, luottokorttinumeroita, vaan puhelinnumeroita ja sähköpostiosoitteita, joita palvelusta löytyy, Hyppönen selventää MTV Uutiset Liven haastattelussa. 

Mitä näillä tiedoilla sitten voidaan tehdä? 

F-Secure varoitti jo viime viikolla, että vuodettuja tietoja voidaan käyttää arkaluontoisimpien tietojen hakkerointiin ja kalasteluun. 

Myös Hyppönen pitää todennäköisenä, että hakkerifoorumille vuodettuja LinkedIn-tietoja hyödynnetään uusissa hyökkäyksissä – aivan kuten aiemmissa vastaavanlaisissa tietovuodoissa. 

– Eli voisi odottaa, että suomalaisiin sähköpostiosoitteisiin tai puhelinnumeroihin rupee tulemaan huijausviestejä.

– Ja hyökkääjällehän on eduksi se, että se tietää ihmisestä jotain muutakin kuin vain sähköpostiosoitteen tai puhelinnumeron. Tässä tapauksessa hyökkääjä tietää nimen ja työpaikan, hän listaa. 

Millaisia nämä huijausviestit voivat sitten olla? Katso jutun alussa olevalta videolta tietoturva-asiantuntijan näkemys asiaan!

Tällaisia tietovuotoja on hankala estää kokonaan

F-Secure kertoman mukaan yritys on ollut yhteydessä asiakkaisiinsa, joiden tietoja on LinkedIn-tietovuodon yhteydessä vuodettu hakkerifoorumille. 

Vaikka LinkedIn-käyttäjä tietää, että hänen tietonsa ovat osa vuotoa, yksittäinen käyttäjä ei vuodolle voi enää mitään. 

– Sieltä ei ole vuotanut hirveitä salaisuuksia, Hyppönen rauhoittelee alustaessaan vastaustaan. 

Mitä siis käyttäjä voi tällaisessa tilanteessa tehdä?

– Ehkä kaikkein tärkeintä on olla hereillä ja tietoinen siitä, että tällainen on nyt päällä ja on ehkä todennäköisempää, että tällaisia huijausviestejä tulee tavallista enemmän sähköpostiin tai puhelimeen, hän toteaa.

– Tämmöistä hyökkäystä, jossa pyritään pääsemään kiinni julkisiin tietoihin, on vähän vaikea kokonaan estää. 

Sosiaalinen media auttaa tietovuotajia

Tällaisissa tietovuodoissa, joissa hyökkäyksen kohteena ovat julkiset ja eivät-niin-arkaluontoiset tiedot, sosiaalinen media tuo oman lusikkansa soppaan. 

Some-alustoilla palvelun käyttäjä voi käyttää hyödykseen esimerkiksi etsi kaverisi -toimintoja, mikä käytännössä tarkoittaa sitä, että käyttäjä jakaa oman osoitekirjansa palvelulle.

Kun hyökkääjät käyttävät tällaista käyttäjäystävällistä toimintoa oman miljoonan puhelinnumeron osoitekirjansa avulla, he saavat käsiinsä valtavan määrän tietoja.

– Ja hyökkääjät hyödyntävät tätä usein, niin että he tekevät osoitekirjan, jossa on esimekriksi miljoona puhelinnumeroa, ja kun he etsivät kavereita 

Uskaltaako verkkopalveluita enää käyttää?

LinkedIn on Microsoftin ylläpitämä palvelu, ja ison teknologiajätin osalta voisi luulla, että tietoturva-asiat ovat niin ”tikissä”, ettei tietovuotoja tapahdu. 

Hyppösen mukaan Microsoftin tietoturva on tänä päivänä hyvällä tasolla – tai ainakin huomattavasti paremmalla tolalla kuin menneinä vuosina. 

Hän muistuttaa, että Microsoftin lisäksi suurimmat yhdysvaltalaiset teknologiajätit ovat käyttäneet viime vuosina satoja miljoonia euroja tietoturvan parantamiseksi – myös pakon edessä. 

Vaikka tämänkaltaiset tietovuodot ovat ikäviä Internet-palveluiden käyttäjille, niiden käyttöä ei tarvitse lopettaa, Hyppönen vakuuttaa. Hänen mukaansa digitaalisien ympäristöjen luomat mahdollisuudet ja hyödyt ovat haittoja suuremmat.

 – Verkko tuo meille toki uusia ongelmia ja riskejä sekä uudentyyppistä rikollisuutta – ja ennen kaikkea rikollisuutta, joka ylittää maiden rajat paljon helpommin kuin ennen vanhaan, mutta kyllä hyödyt ovat paljon suurempia kuin haitat.

Huolissaan voi olla, mutta verkkopalveluita Hyppönen kehottaa käyttämään jatkossakin.

– Me emme halua mennä taaksepäin tai elää kivikaudella, vaan haluamme ottaa netistä ne hyödyt, mitä sieltä saadaan.

Lue myös:

    Uusimmat