Rahoitusalalla toimiva Riverty Finland Oy luovutti tietoja yhteistyökumppanilleen Innovoice Oy:lle, vaikka Digi- ja väestötietoviraston (DVV) mukaan sillä ei ollut oikeutta näin tehdä. DVV:n mukaan tietomurron kohteiksi joutuneiden yritysten mahdollisuus hakea väestötietojärjestelmän tietoja on siten perustunut pelkästään Rivertyn tietoluvan vastaiseen toimintaan.
Tapaus liittyy Liikenne- ja viestintäviraston Traficomin ajoneuvorekisteriin kohdistuneeseen väärinkäyttöön. STT selvitti tapahtumien kulun tietosuojaloukkausilmoitusten avulla ja ilmoitusten tekijöitä haastattelemalla. Traficom ei ole kertonut toukokuiseen väärinkäyttöön liittyvien yritysten nimiä, kun asiasta uutisoitiin laajasti toukokuussa.
Riverty kertoo tuottavansa Innovoicelle laskutus- ja osamaksupalveluita. Riverty Finland Oy:n toimitusjohtajan Harri Kanervan mukaan esimerkiksi kuluttajan maksaessa autonsa korjauksen laskulla tai osamaksulla Innovoicen InnoLasku-järjestelmää käyttävä autokorjaamo voi selvittää asiakkaan luottokelpoisuuden Rivertyn palvelun avulla.
– Tietomurron suorittanut taho onnistui saamaan haltuunsa noin 8 000 henkilön tietoja Innovoicen palveluun kohdistuneen laittoman hyökkäyksen välityksellä, Kanerva kirjoitti sähköpostivastauksessaan.
Kanerva ei antanut STT:lle haastattelua. Hän ei vastannut kysymykseen siitä, miksi Riverty oli luovuttanut väestötietojärjestelmätietoja luvanvastaisesti eteenpäin.
DVV:n lakiasiainjohtaja Noora Kallio sanoi, että tapaukseen liittyvälle asiakkaalle on annettu lupa väestötietojärjestelmätietojen käyttöön kesällä 2018.
Innovoicen toimitusjohtaja Johan Hörhammer ei kommentoinut STT:lle yrityksen osuutta tapauksessa.
Autonkorjaus- ja hinausliikkeet osallisena
Innovoicen ilmoituksen mukaan autonkorjaus- ja hinausalalla toimivien Kone-Falco Oy:n ja Karkkilan Varaosa Oy:n käyttöympäristöissä tehtiin useita tietomurtoja toukokuun aikana. DVV:n mukaan hyökkääjä oli tehnyt Kone-Falcon ja Karkkilan Varaosan nimissä tuhansia luottokelpoisuuskyselyjä.
Karkkilan Varaosan yrittäjä Ismo Akkanen kertoo, että tietomurtautuja on päässyt Innovoicen järjestelmään yrityksen käyttäjätunnuksella ja salasanalla.
– Käyttäjätunnukset ja salasana on jostain muualta urkittu kuin meidän järjestelmästämme, Akkanen sanoi STT:lle.
Karkkilan Varaosa on Innovoicen rahoituspalvelujen käyttäjä. Innovoicen järjestelmässä on noin 10-15 Karkkilan Varaosan asiakkaan nimi- ja osoitetiedot. Näihin tietoihin murtautuja on siis päässyt.
Kone-Falcosta ei annettu STT:lle haastattelua. Asianajaja Antti Laakso vastasi sähköpostilla, että Kone-Falcon omiin järjestelmiin ei ole kohdistunut tietomurtoa.
Innovoicen ilmoituksen mukaan Kone-Falcon tietomurron yhteydessä kolmas osapuoli teki muun muassa rahoituspäätöshakuja Traficomin palveluun, jonka avulla oli mahdollista saada haltuunsa myös henkilötietoja.
Johtaja Hannu Parkkisenniemi Traficomista kertoo, että Innovoice ei tuota palveluja Traficomille. Tapauksessa Traficomin järjestelmiin ei kohdistunut tietomurtoa.
Traficom luovuttaa ajoneuvojen sekä ajoneuvojen omistajien ja haltijoiden tietoja Innovoicelle, joka tuottaa palveluja esimerkiksi hinaus- ja tiepalvelualan yrityksille.
Väärinkäytön myötä noin 65 000 ajoneuvon omistajan tai haltijan tietoja kysyttiin perusteetta. Tietomurto koski niitä, joiden ajoneuvon rekisteritunnus alkaa A-kirjaimella rekisteritunnusvälillä AAA-xxx-ALJ-xxx.
Ylen aamussa keskusteltiin perjantaina 3. toukokuuta useista Suomeen kohdistuneista tietomurroista ja siitä, millaisia uhkia ne aiheuttavat:
