In Finlandia c’è stato un grosso furto di informazioni personali di pazienti di un centro di psicoterapia
E chi ha rubato le informazioni ha chiesto un riscatto per non pubblicarle
Negli ultimi giorni in Finlandia è emerso un grosso caso di furto di dati personali di pazienti che seguivano percorsi di psicoterapia nei centri di Vastaamo, una società privata convenzionata con il sistema sanitario pubblico finlandese e con sedi in tutto il paese. Le informazioni riservate di centinaia e forse migliaia di pazienti sarebbero state sottratte attraverso alcuni attacchi informatici e adesso i pazienti stanno subendo tentativi di estorsione in cambio della non diffusione dei dati sensibili. Domenica la ministra dell’Interno finlandese, Maria Ohisalo, ha convocato una riunione d’emergenza per gestire il caso e ha garantito che il governo «fornirà aiuto tempestivo alle vittime» della violazione dei dati, definendo gli attacchi informatici «sconvolgenti e serissimi».
In una dichiarazione pubblicata domenica sera, Vastaamo ha confermato di aver subito un attacco informatico che ha portato al furto di informazioni riservate dei suoi pazienti: nomi, indirizzi e recapiti, ma anche appunti e stralci delle conversazioni tra pazienti e psicologi che chiaramente dovrebbero rimanere riservati. Non si sa ancora chi ci sia dietro l’hackeraggio, né se si tratti di più di una persona, ma secondo Vastaamo potrebbe trattarsi del terzo attacco informatico nel giro di due anni: l’azienda infatti ha detto che «è probabile» che i suoi sistemi di sicurezza siano stati violati altre due volte, nel novembre 2018 e nel marzo 2019. L’ultimo attacco è stato scoperto grazie alla segnalazione di tre dipendenti della società, che sarebbero stati a loro volta vittime del ricatto.
I media finlandesi, tra cui YLE e l’Helsingin Sanomat, hanno raccontato che il ricattatore ha scritto che pubblicherà i dettagli di cento persone al giorno a meno che non riceva 450mila euro. Non si sa con esattezza quante siano le persone coinvolte dal furto di dati, ma chi le ha rubate ha intanto diffuso dati personali di circa 300 persone.
Una persona che avrebbe subito il furto dei dati personali e che ha chiesto di essere identificata soltanto col nome proprio – Jere – ha raccontato a BBC di essere stata contattata da qualcuno che si definiva “il tizio del riscatto”. Dal momento che Vastaamo si era rifiutata di pagare il riscatto, il ricattatore aveva chiesto a Jere di pagare 200 euro in bitcoin per proteggere i suoi dati; se non lo avesse fatto entro 24 ore, allora avrebbe dovuto pagare 500 euro; dopo 72 ore, in caso di mancato pagamento, “il tizio del riscatto” avrebbe pubblicato su internet i dati e le informazioni delle sedute di psicoterapia di quando Jere era adolescente.
The attacker calls himself ’ransom_man’, and is running a Tor site on which he has already leaked the therapist session notes of 300 patients. This is a very sad case for the victims, some of which are underage. The attacker has no shame.
— @mikko (@mikko) October 24, 2020
L’Helsinki Times, il principale giornale finlandese in lingua inglese, ha spiegato che l’agenzia investigativa del paese (KRP) ha avviato un’inchiesta per frode informatica aggravata e diffusione di informazioni in violazione della privacy, e che sta cercando i responsabili degli attacchi informatici sia in Finlandia sia al di fuori del paese.
Marko Leponen, l’investigatore a capo dell’inchiesta, ha commentato che ciò che rende eccezionale questo caso è la natura del materiale rubato, che danneggerebbe la vita privata di moltissimi pazienti. Inoltre, ha chiesto a chiunque dovesse essere contattato dagli hacker di mettersi immediatamente in contatto con la polizia.
– Leggi anche: L’arresto di sei agenti russi per attacchi informatici di alto livello
In Finlandia la vicenda degli attacchi informatici subiti da Vastaamo è diventata un caso nazionale, perché secondo le autorità i clienti che potrebbero aver subito il furto di informazioni sensibili potrebbero essere anche decine di migliaia. L’amministratore delegato di Vastaamo, Ville Tapio, è stato accusato di aver cercato di nascondere la storia degli attacchi informatici ed è stato rimosso dall’incarico. La prima ministra Sanna Marin ha detto che questo hackeraggio di informazioni riservate è un gesto «scioccante sotto molti punti di vista», mentre il presidente della Repubblica finlandese, Sauli Niinistö, ha definito il ricatto «crudele e disgustoso».
Mikko Hypponen, uno dei maggiori esperti di sicurezza informatica a livello internazionale, ha segnalato che l’unico altro attacco simile a questo è stato quello del novembre 2019 ai danni del Center for Facial Restoration in Florida. Anche in quel caso alcuni clienti avevano ricevuto richieste di riscatto per non far diffondere foto o informazioni personali su internet: si parlava però di circa 3.500 persone che avrebbero dovuto sottoporsi a interventi di chirurgia plastica presso il centro medico statunitense, e non di decine di migliaia di pazienti e dei dettagli più intimi delle loro vite.