Digiturvatulkki

takaisin etusivulle

Aikuisviihdesivusto vuoti 1,2 miljoonan käyttäjän yksityistiedot - vaarana tuhoisat haittavaikutukset

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
tietoturvaloukkaus
yksityisyydensuoja
digiturvakäytännöt

Tulkattava artikkeli

Viitattu
26.8.2019
osoitteessa
https://www.iltalehti.fi/digiuutiset/a/b0f7791a-a548-4c5a-b4de-131f9d8ee90a
Aikuisviihdesivusto Luscious ei ole suojannut lähes 1,2 miljoonan käyttäjänsä tietoja, tietoturvayhtiö vpnMentor kertoo. Asiasta uutisoi ZDNet . Anonyymien käyttäjien yksityistietoihin, kuten käyttäjänimeen, asuinmaahan, sukupuoleen ja aktiivisuustietoihin oli mahdollista päästä helposti käsiksi. Aktiivisuustietoihin lukeutui video- ja kuvalataukset, kommentit, blogijulkaisut, suosikkitallennukset, seuraajat, seuratut käyttäjät sekä henkilökohtaiset numerokoodit.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
Aikuisviihdesivusto vuoti 1,2 miljoonan käyttäjän erittäin sensitiivisiä tietoja. Tiedot oli tallennettu täysin suojaamattomaan tietokantaan. Sensitiivisen sisällön vuotaminen altistaa uhrit kiristykselle, phishing-hyökkäyksille ja monille muille huijauksille.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

Aikuisviihdesivustoilla ymmärrettävästi kaikki toiminta tapahtuu nimimerkkien takana. Kyseisellä Luscious-sivustolla voi artikkelin mukaan mm. ladata sisältöä, kommentoida, julkaista blogeja, asettaa suosikkeja ja seurata käyttäjiä. Käyttäjät eivät tietenkään oleta näiden tietojen ikinä paljastuvan ja kohdistuvan heihin.

Tietovuodon yhteydessä aktiviteettitietojen lisäksi vuoti sijaintitietoa ja sähköpostiosoitteita, joka siis vie anonymiteetin ainakin osalta käyttäjistä. Yhtäkkiä nämä hyvin sensitiiviset aktiviteettitiedot voivatkin olla huijareiden käsissä - valmiina käytettäväksi kiristykseen, phishingiin tai muunlaiseen kiusaamiseen. Sisältöjen paljastuminen voi pahimmillaan olla tuhoisaa tietovuodon uhrin ihmissuhteille ja maineelle.

Jälleen tietovuodon syynä oli hyvin yksinkertainen tietoturvaongelma. Käyttäjänä kannattaa varautua pahimpaan jo ennalta, etenkin sensitiivisten sisältöjen yhteydessä.  

Mikä meni pieleen?
Tietokanta salaamattomana ja suojaamattomana verkossa

Kyseessä on ollut joko törkeä tiedottomuus tai yleinen digiturvatyön ongelma, eli vastuun putoaminen ihmisten väliin selkeän suunnitelman puuttuessa.

Asianmukaisten pääsyoikeuksien huolehtimisen pitäisi olla ensimmäinen asia, joka katsotaan kuntoon tietokantaa perustettaessa ja tarkistetaan säännöllisesti.

Tietovuodon sisältö erittäin sensitiivistä

Vuodossa oli mukana kaikenlaista aktiviteettitietoa, nimimerkin takana tehtyjä henkilökohtaisia kirjoituksia ja paljon jopa sisältöjä, joka ei sivustolla näkynyt edes muille rekisteröityneille käyttäjille.

Sähköpostitiedon ja sijantitiedon avulla huijari voi löytää vastaavan profiilin sosiaalisesta mediasta tai muualta verkosta. Tietoja voidaan sitten uhata julkaista, mikäli uhri ei maksa tiettyä summaa. Palvelun käyttäjätieto, sähköpostitieto ja sijaintitieto tarjoavat lisäksi huijarille runsaasti dataa esittää palveluntarjoajaa ja kalastella vaikkapa salasana- tai luottokorttitietoja uhrilta.

Kuinka vältät vastaavan?
Huomioita ja vinkkejä
Päivitä käyttäjätietosi

Palvelusta vuotaneissa käyttäjätiedoissa ei ollut mukana merkittävästi suomalaisia. Jos kuitenkin tunnistat sivuston, kannattaa päivittää oma käyttäjätunnuksesi ja muut tiliin liittyvät tiedot pikimmiten.

Vältä tunnuksia, jotka ovat liitettävissä sinuun

Tämän tietovuodon yhteydessä merkittävä osa käyttäjätunnuksista oli sähköpostiosoitteita etunimi.sukunimi-muodossa. Osa osoitteista oli jopa .edu- tai .gov-muotoisia, jolloin ne voivat erityisesti kohdistaa huijareiden huomiota myös työnantajiin.

Toimiessasi hyvin sensitiivista, henkilökohtaista tietoa sisältävillä sivustoilla, vältä sinuun liitettävissä olevia tunnuksia. Luo tunnus, jossa ei ole viittauksia esimerkiksi nimeesi, sähköpostiisi tai mihinkään sinuun liittyvään online-tiliisi.

case
ilmiö
teknologia
tietoturvaloukkaus
yksityisyydensuoja
digiturvakäytännöt