Salokankaan juristiblogi

Carunan viestintä herätti enemmän kysymyksiä

Muutama päivä sitten julkaisin blogikirjoituksen Carunan markkinointikirjeessä olevasta tietoturvahaavoittuvuudesta. Tämän muun muassa Iltalehti bongasi. Ajattelin jättäväni asian tähän, mutta eniten koko jutussa harmitti Carunan viestinnän tahaton tai tahallinen väärinymmärtäminen.

Pahin pelkoni osoittautui toteen, sillä kyseisen haavoittuvuuden kautta olisi saanut (tai joku sai) urkittua Carunan asiakkaiden nimen, puhelinnumeron ja sähköpostiosoitteen.

Ilmoitin asiasta yhtiölle välittömästi chatin kautta, sillä käytännössä omatkin asiakastietoni olivat vaarassa päätyä kolmansin käsiin tai on myös mahdollista, että näin on myös käynyt.

Yllätyin kuitenkin hieman Carunan viestinnän tai IT-osaston vastaanotosta. Carunan viestintäjohtaja otti kantaa väitteisiin myöhemmin:

"Viestit on lähetetty salatun yhteyden kautta ja ne on toimitettu asianmukaisiin sähköpostiosoitteisiin. Sähköpostissa oli linkki/kehotus käydä tarkistamassa omat tiedot linkin kautta. Linkki on https/ssl- yhteydellä salattu eli yhtä turvallinen kuin verkkopankki, Vanhanen vakuuttaa". Caruna vakuutti, että kaikki on kunnossa.

Kommentti sai aikaan itsessäni naurahduksia. Eikö Caruna tosissaan tunnista, mistä asiassa on kysymys vai onko kysymys kriisiviestintästrategiasta, jossa kuuta väitetään juustoksi?

Kysymys ei myöskään ollut toimittajalle suoralta kädeltä annetusta vastauksesta, vaan heillä oli muutama tunti aikaa valmistella näitä vastauksia. Nämä vastaukset herättivät ainakin IT-ammattilaisten kesken suurta naurua  ja LinkedInissä muun muassa tätä kutsuttiin asiakkaan aliarvioimiseksi.

Joka tapauksessa Caruna sulki palvelunsa, vaikka heidän käsityksen mukaan palvelu oli yhtä turvallinen kuin verkkopankki ja kaiken piti olla kunnossa.

Pieni faktakertaus Carunalle:

1) Sähköposti liikkuu suojaamattomassa muodossa. Se ei varsinaisesti ollut tämän haavoittuvuuden ongelma.

2) Se, että linkki/selailu on salattu HTTPS/SSL -salauksella, ei vielä tarkoita, että viesti olisi turvallinen. SSL-salaus ei millään tavalla turvannut asiakkaiden tietoja tässä eikä järjestelmä faktisesti ollut yhtä turvallinen kuin verkkopankki. Kuka tahansa henkilö menemällä https:// -yhteyteen olisi saanut ko. viestin auki. Tilanne rinnastuisi siihen, jos taloyhtiön huoltomiehen yleisavain olisi unohdettu taloyhtiön hiekkalaatikolle, mutta huoltoyhtiö kertoisi lukkojen olevan toiminnassa ja kunnossa.

Käytännössä lataamalla kotikoneelle tai muutamalle pilvipalvelimelle ns. crawlereita, koko tietokanta olisi saatu muumassa tunnissa imuroitua palvelimelta. Yksi tietokone pystyy hakemaan 50-100 sivua per sekunti riippuen palvelimen vastaanottokyvystä. Toki kyselyiden määrää voi rajoittaa palvelimelta, mutta epäilen, että näin olisi tehty. Kun otetaan mukaan muutama pilvipalvelin, tehokkuus nousee huomattavasti korkeammaksi. 

Toisessa artikkelissa Carunan tietohallintojohtaja kertoi vielä mystisemmin ongelman korjauksesta: "Kunhan robotin sieltä blokkaa, se on turvallinen." Mitäh? Mistä hän oikein puhuu? Jos tietohallintojohtaja tarkoitti näitä crawlereita, ne pystyy käyttämään helposti eri IP-osoitteita tai käyttämään proxyjä. Niitä on myös aika mahdoton blokata. Tämäkään ei ole riittävä tietoturvatoimenpide.

Carunan tietohallintojohtaja kertoi, että numerosarjat eivät olleet vierekkäin, vaan 1/30 000 olisi osunut oikeaan. Käytännössä matemaattisesti laskien yksi tietokone olisi saanut yhden asiakkaan tiedot noin 30 minuutissa (huomioimatta lukuisia crawlereita, joiden avulla päästäisiin huomattavasti korkeampaan lukuun ja riippuen täysin palvelimen ja crawlerin nopeudesta). Tämän olisi voinut tehdä huomaamatta yön yli muutaman päivän ajan kuka tahansa monella eri crawlerilla. Yksikin paljastus on mielestäni kuitenkin liikaa.

Koko viestin idea oli se, ettei yksittäinen asiakas käsipelillä saa auki toisen viestejä, enkä niin ole väittänyt. Kysymys oli siitä, että teknisesti vähänkin IT-asioista perillä oleva henkilö voi saada asiakastiedot ladattua palvelimelta käyttäen internetissä yleisesti saatavilla olevilla työkaluilla. Se olisi toki tietomurto, joka on rikos, mutta usein näillä identiteettivarkailla on käytössä Tor-verkkoa tai muita proxyjä, joten kiinnijäämisen riski on todella alhainen.

Käytännössä Carunan järjestelmä ei toteuta tietosuoja-asetuksen mukaista oletusarvoista tietoturvaa, sillä pääsyä asiakastietoihin ei teknisesti oltu millään tavalla suojattu. Yrityksenä en lähtisi kutsumaan haavoittuvuutta lieväksi, jos kysymys on ollut näin alkeellisesta virheestä, joka on kenen tahansa huomattavissa. Enemmän tämä herätti kysymyksiä siitä, miten Caruna käsittelee luottamuksellisia asiakastietoja. Siinä tilanteessa itse en lähtisi selittämään kuuta juustoksi ja kiistämään tietoturvahuolia, vaan palkitsisin asiakasta siitä, että tiedot todennäköisesti jäivät talon sisäiseksi.

Jos virhe ei olisi tullut kauttani Carunan tietoon, todennäköisesti viikon kuluessa tämäkin tietokanta olisi julkaistu jossain palstalla. Kirjoitin tästä asiasta blogin, koska ajattelin, että se on tehokkain tapa saada myös pidettyä omat asiakastiedot poissa tietovuodosta ja että tietovuoto myös otettaisiin yhtiössä vakavasti. 

 

Piditkö tästä kirjoituksesta? Näytä se!

0Suosittele

Kukaan ei vielä ole suositellut tätä kirjoitusta.

NäytäPiilota kommentit (1 kommentti)

Käyttäjän AnnePiril kuva
Anne Pirilä

Kiitos aktiivisuudestasi ja pahoittelut Jussi epäselvästä ja puutteellisesta viestinnästä. Otimme asian vakavasti ja poistimme palvelun heti käytöstä. Korjaustoimien jälkeen palvelu otettiin käyttöön heti seuraavana päivänä ja se on nyt tietoturvallinen. Kiitos, että autoit meitä korjaamaan vian nopeasti.

Ystävällisin terveisin,
Anne Pirilä
Caruna/viestintä

Toimituksen poiminnat