Polisen om hur man lyckades knyta Kivimäki till Vastaamo: Servrar, hemliga sidor och fingeravtryck

Aleksanteri (tidigare Julius) Kivimäki flyttade runt i världen och lämnade få spår efter sig. Bit för bit säger polisen ha kunnat knyta honom till dataintrånget i Vastaamo.

Den misstänkta i fallet heter Aleksanteri Kivimäki. Han nekar till brott. Bild: Emmi Korhonen / Lehtikuva

3.11.2023 11:10Uppdaterad 3.11.2023 12:39

Centralkriminalpolisen har nu gett ut förundersökningsmaterialet i Vastaamofallet. Enligt det har polisen bit för bit fått fram bevis som binder Aleksanteri Kivimäki till brottet.

Själv nekar han till anklagelserna.

Fel inställning blev polisens genombrott

Enligt förundersökningen kom polisens genombrott via en oförsiktig inställning.

Den misstänkta hade ställt in en virtuell server som han kontrollerade till att automatiskt hämta data från de stulna patientuppgifterna.

Varje dygn hämtades hundra på måfå valda patienters uppgifter som kopierades in i en viss mapp. Efter det paketerades mappen automatiskt för publicering.

Men den tidsinställda paketeringen tog inte med bara mappen med patientuppgifter, utan också serverns hemkatalog. Hemkatalogen innehåller bland annat information om programanvändning.

Rumänska identitetskort för Aleksanteri Kivimäki. Personuppgifterna är svärtade men Kivimäkis bild syns. — Kivimäki har haft identitetshandlingar utfärdade i flera olika länder. Här id-kort från Rumänien. Bild: Poliisin esitutkintamateriaali

Genom den här informationen kom polisen den misstänkta på spåren.

Först ledde spåret till en server i en serverhall i Tusby. Där hittades två servrar till som kunde kopplas till den första.

Polisen knäckte kryptering

Polisen lyckades knäcka krypteringen för två av servrarna. På den server som hittats först fann man databaser som polisen tror var stulna.

Den här servern kallas i förundersökningen för P1.

Polisens tekniska undersökning upptäckte att det från P1 tagits kontakt med en annan server som polisen kallar K1.

Flera stora filer har överförts mellan dem på ett sätt som kräver användarrättigheter. Det ger i sin tur en orsak att anta att användaren av båda servrar varit samma.

Via servern K1 hittade polisen ytterligare 16 servrar.

Kinesisk bulvan, vuxenunderhållning och försvunna kreditkort

När nätverket av servrar väl hade kartlagts började polisen reda ut vem som hade tillgång till dem.

Det gjordes genom att gå igenom betalningsuppgifterna. De servrar som hittades först hade någon betalat för med bland annat kreditkort som anmälts som borttappade och genom Paypal-betalningar.

Kreditkorten ledde ingenstans, men e-postadressen för den som genomfört Paypal-betalningarna ledde till en kinesisk person vid namn Deng Haitao.

I förhören har Kivimäki berättat att han anlitat den kinesiska mannen för att han skulle betala räkningar för Kivimäki. Kivimäki betalade mannen i virtuella valutor.

En skärmdump av en beställningsbekräftelse på pizza, beställaren är Julius Kivimäki. — Genom att knyta ihop olika digitala spår som användarnamn, betalningsuppgifter och ip-adresser hittade polisen kopplingar mellan dataintrånget och Kivimäki. Här en beställningsbekräftelse för pizza. Bild: Centralkriminalpolisens förundersökningsmaterial

En del av servrarna som hittades via servern K1 användes av ett företag som heter Scanifi. I förhör berättade Kivimäki att han varit vd för Scanifi.

Företagets verksamhet gick ut att leta efter sårbarheter på internet och informera företag om dem.

De här servrarna hade Kivimäki betalat för med sitt eget kreditkort.

Utöver kreditkortet har polisen också kunnat knyta Kivimäki till ip-adresser som under samma tid kunnat kopplas till helheten runt dataintrånget.

Bland annat har någon från en och samma ip-adress betalat för innehåll i tjänsten Onlyfans med Kivimäkis betalkort, gjort hotellreservation till Hotel Kämp i Helsingfors och loggat in på en av servrarna som knutits till de misstänkta brotten.

Polisen hittade fingeravtryck genom foto

Materialet som delvis nu getts ut i offentligheten innehåller mycket teknisk jargong, men också detaljer som kunde ha hämtats ur en spionroman.

Ett exempel är ett fotografi som laddats upp till diskussionsforumet Ylilauta. På fotografiet syns bara en hand, men polisen har kunnat urskilja och identifiera Kivimäkis fingeravtryck.

En hand håller en en vit sprayburk med ljusröd kork. — Ur den här bilden som laddats upp på diskussionsforumet Ylilauta kunde polisen få fram Kivimäkis fingeravtryck. Bild: Centralkriminalpolisens förundersökningsmaterial

Ylilauta var ett av de ställen som Kivimäki sägs ha laddat upp de stulna patientuppgifterna på.

Kivimäki: Jag har inte försökt gömma mig

Kivimäki har inte stannat länge på ett ställe, utan flyttat från land till land och adress till adress utan att lämna nämnvärda spår efter sig.

I förhören berättar han att han bland annat bott i Spanien, Storbritannien, Arabemiraten och Frankrike. I vissa länder har han bott i flera repriser.

Kivimäki i olika videor i Frankrike.

Kivimäki själv säger i förhören att han inte försökt gömma sig, utan att han inte registrerat sig som boende för att han inte behövt offentliga tjänster såsom hälsovård.

Han har också upplevt det som krångligt att registrera sig.

Domstolsförhandlingarna inleddes i oktober vid Västra Nylands tingsrätt. Kivimäki åtalas för bland annat grovt dataintrång och försök till grov utpressning. Åklagaren vill se ett sju år långt fängelsestraff.

Ett körkort från Arizona, USA utfärdat för Julius (numera Aleksanteri) Kivimäki. Personuppgifterna är svärtade. — Kivimäki hade också ett körkort från USA. Bild: Poliisin esitutkintamateriaali

Över 33 000 personer är offer för dataintrånget där terapiföretaget Vastaamos patientuppgifter stals och publicerades. Den stulna informationen innehöll personuppgifter och patientanteckningar.

Artikeln uppdateras med mer information under dagen.

Relaterat: Kivimäki åtalad i Vastaamofallet – över 21 000 målsägande

Aleksanteri Kivimäki och hans advokat Peter Jaari i Västra Nylands tingsrätt.