Samuli Suonpää Profile picture
Oct 23, 2020 15 tweets 3 min read Read on X
Osapuilleen tusinan twiitin mittainen lanka #Vastaamo-tietomurrosta. Puhun tietomurrosta, Pythonista ja SQL-tietokannoista, joista mistään en oikeastaan kovin paljon tiedä. Varovaisuutta lukijalle, siis. 1/n
Perjantainvastaisena yönä #Vastaamo -tietomurron tekijä jakoi Tor-verkossa kolmannen erän potilastietoja, jälleen 100 ihmisen tiedot. Lisäksi yöllä oli jaossa, kenties vahingossa, myös paljon suurempi paketti lataamo.tar. Tämä paketti sisälsi vähintään n. 2000 ihmisen tiedot. 2/n
Potilastietojen lisäksi paketin sisällä oli Python-skripti "profile_gen.py". Olisiko se voinut unohtua tähän? Tiedoston aikaleima oli 11.10.2020, klo 18:23. Kyse on skriptistä, joka lukee potilastietoja tietokannasta ja muodostaa tekstitiedostoja. 3/n
Tämän skriptin avulla tuskin on murtauduttu mihinkään! Skripti ottaa ymmärtääkseni yhteyden paikalliseen tietokantaan. Skripti on muodostanut myöhemmin jakoon päätyneet tekstitiedostot, mitä ilmeisimmin tässä vaiheessa jo varastetusta ja kopioidusta tietokannasta. 4/n
Tietokannan nimi on “fidb”, käyttäjätunnus “root”, salasana “root”. Nyt lienee kuitenkin jo kyse murtautujan omasta tietokannasta! Tämän perusteella ei voi päätellä #Vastaamo’n tietokannan salasanasta yhtään mitään! 5/n
Skriptissä ei ole mitään, mikä viittaisi suomen kieleen. Kaikki muuttujien nimet, samoin kuin tuotettaviin tekstitiedostoihin kirjoitettavat selitetekstit ("Phone", "SSN", "Patient paid…" yms.) ovat englanniksi. 6/n
Tietoja noudetaan kahdesta tietokantataulusta: patients ja appointment_patiens. Ensimmäinen sisältää potilastiedot, jälkimmäinen tiedot potilasakäynneistä. Koodi yhdistää potilaan tiedot potilastapahtumiin ja muodostaa näistä määrämuotoisia tekstitiedostoja. 7/n
Tiedostot kirjoitetaan potilaan nimen mukaan nimettyihin yksittäisiin tekstitiedostoihin hakemiston patients/ alle. Myös tässä suuressa paketissa oli tekstitiedostoja hakemistossa patients. 8/n
Itse toimenpide, jonka koodi suorittaa, on niin yksinkertainen, että tällaisen minäkin osaisin ohjelmoida. Koodi näyttää minun (harjaantumattomiin!) silmiini siistiltä ja ammattimaiselta. Ainakaan kyse ei ole kenenkään ensimmäisestä Python-harjoituksesta. 9/n
Koodissa käytetyt ohjemointikonventiot ja muotoilu viittaavat minusta selvästi aiempaan ohjelmointikokemukseen. Edelleen, minun python-kokemukseni on niin vähäistä, että saatan erehtyäkin. 10/n
Python-skripti ja hakemisto patients/ ovat sijainneet hakemistossa therapissed/ (noin kirjoitettuna!) alla. Paketti on muodostettu komennolla
$ tar cf vastaamo.tar therapissed/
11/n
Tekstitiedostojen päiväys paketin sisällä on 23.10.2020 klo 01:07. Jakoon päätynyt paketti lienee siis muodostettu silloin. Käsittääkseni uusia tiedostoja oli yöllä jaossa jo tätä ennen.

Ja, kuten sanoin, skriptin tiedostopäiväys on 11.10.2020. 12/n
Näyttäisi siltä, että murtautujalla on omalla laitteella SQL-tietokanta, josta tiedostot muodostettiin paikallisesti ja ne taisivat paikallisesti päätyä jakoonkin. Yksi laite, jossa on kaikki, ja joka jakaa Tor-verkkoon välillä enemmän kuin oli suunniteltu? 13/n
Lisähuomio: SQL-kyselyissä ei käytetä mitään rajauksia esim. piävämäärän suhteen. Skripti tekee tiedostot kaikesta, mitä kannasta löytää. Jos vuotta 2018 uudempaa aineistoa ei ole päätynyt / päädy jakoon, en usko murtautujalla uudempaa aineistoa hallussaan olevankaan. 14/n
Toinen lisähuomio: skripti ei nähdäkseni käsittele html-koodia mitenkään eikä tee merkistömuunnoksia. Skripti ei myöskään näytä koskevan päivämäärän ja kellonajan muotoiluun. Osaisikohan tästä joku päätellä jotakin? 15/15

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Samuli Suonpää

Samuli Suonpää Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @suonpaa

Jul 21, 2023
KRP:n, Helsingin poliisin ja syyttäjän mukaan poliitikko julkaisi salassa pidettävää tietoa uhrista seksuaalirikosjutussa, jossa oli ollut epäiltynä.

Syytettä rikoksesta ei nosteta. Miksei? Koska Iltalehti oli uutisoinut rikosepäilyn ja julkisuus oli ministerille kurjaa. 1/8 Image
Siitä, julkaisiko Rydman salassa pidettävää tietoa, ei ole epäselvyyttä.

Ministerin rötös saa väistämättä julkisuutta. Näin demokratiassa tuleekin olla. Onko se syy jättää rikos tutkimatta ja syyttämättä? Entä olisiko se syy jättää rikos uutisoimatta? 2/8
Image
Image
Kyse on Iltalehden uutisesta. Siinä kerrottiin, että KRP oli tehnyt ministeristä tutkintapyynnön. Se ei ole pikkujuttu.

Oliko uutisointi kohtuutonta? Ei ollut. Yleisöllä on oikeus tietää, mitä yhteiskunnassa tapahtuu. Uutinen ei ole rangaistus. 3/8
iltalehti.fi/politiikka/a/f…
Read 9 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

:(