Il ressort de l’enquête préliminaire de la police criminelle centrale que la police a lié la violation de données à l’aide d’une « empreinte numérique ».
Accusé de violation de données Vastaamo et d’extorsion connexe Alexandre Kivimaki, 26 ans, est devenu le principal suspect de la police en raison de l’adresse IP qu’il utilisait. À la même adresse, la base de données Psykoterapikeskus Vastaamo a été consultée, des achats ont été effectués sur le site Onlyfans et l’Hotellihuone Kämpsi a été réservé.
Les autorités ont relié Kivimäki à la violation de données à l’aide d’une « empreinte numérique ».
Au moment de la violation de données, le serveur du centre de psychothérapie Vastamo était accessible à partir de la même adresse IP que celle utilisée, selon la police, par Kivimäki.
La base de données du guichet a également été trouvée sur le serveur utilisé par la société de Kivimäki, loué avec la carte de crédit de Kivimäki.
Différend
Documents d’enquête préliminaire de la police
Au cours de l’enquête préliminaire, il a été constaté que quatre connexions au serveur contenant la base de données des patients avaient été effectuées à partir de l’adresse IP utilisée par Kivimäki en utilisant la clé SSH unique qui lui était connectée.
Une clé SSH est un certain type d’empreinte numérique dont le but est d’identifier l’utilisateur qui se connecte au service et de vérifier qu’il a accès au service en question.
Lors des connexions, la base de données a été traitée et recherchée. De plus, l’adresse IP en question a été utilisée pour se connecter au serveur Vastaamo avec la même clé SSH en même temps que le réseau Tor était également connecté et que des informations y étaient publiées.
Sur la base de l’enquête préliminaire, l’adresse IP connectée à Kivimäki avait été utilisée par lui entre mai et octobre 2020. L’adresse était connectée à Kivimäki en raison de son activité.
La réservation d’hôtel pour Kämpi avait été effectuée à l’aide des informations personnelles de Kivimäki. Le profil Onlyfans qui utilisait la même adresse IP a de nouveau été utilisé par Kivimäki sur la base d’une demande d’informations. Kivimäki a admis avoir utilisé le service, mais n’a pas voulu commenter autrement à ce sujet.
Kivimäki lui-même nie être l’auteur du crime.
Regarder des séries et des films sur l’ordinateur
Lors des interrogatoires, Kivimäki a déclaré qu’il utilisait des services VPN, auquel cas il y avait également d’autres utilisateurs avec la même adresse IP. Selon la police, l’adresse IP en question n’est l’adresse VPN d’aucun fournisseur de services.
Documents d’enquête préliminaire de la police
Aleksanteri Kivimäki menait une vie mobile avant son emprisonnement. Londres, les Émirats arabes unis, Kiev, Barcelone, la France et Dubaï sont mentionnés dans ses rapports d’interrogatoire. Il ne se souvient pas de toutes les adresses où il a séjourné. Lors des interrogatoires, il a déclaré qu’il possédait des crypto-monnaies.
Interrogé sur les appareils informatiques, Kivimäki a répondu qu’il ne disposait que d’un téléphone. Kivimäki a déclaré qu’il utilisait des ordinateurs Mac et parfois Linux. Dans son appartement londonien, il dit conserver « quelques serveurs », qui contenaient principalement des films et des séries.
Henri Kärkkäinen
– J’avais un Macbook, au début de l’année, sur lequel je regardais la série, mais il a eu un malheureux accident avec un verre. Depuis longtemps, je n’ai rien fait d’autre sur l’ordinateur que regarder des séries et la télévision, a-t-il déclaré.
Kivimäki a déclaré qu’il ne possédait aucun autre bien physique que des vêtements. Il a déclaré qu’il possédait du matériel informatique, mais selon ses propres mots, il n’avait aucune idée de l’endroit où ils étaient allés.
– Il y en a beaucoup dans le magasin, donc c’est un peu ce qui rentre dans le sac, dit Kivimäki.
Directeur général
Kivimäki a déclaré qu’il était le PDG d’une société appelée Scanifi LLC. Selon Kivimäki, l’objectif de la société était d’effectuer des évaluations des risques pour les compagnies d’assurance qui vendent de la cyberassurance aux entreprises.
Documents d’enquête préliminaire de la police
L’objectif était de créer un produit qui surveille les vues des appareils des entreprises sur Internet et leurs mises à jour.
– L’objectif était de collecter des données historiques sur les clients des compagnies d’assurance, sur la qualité de l’installation des mises à jour logicielles sur les appareils visibles sur Internet et sur l’existence de services qui ne devraient pas être disponibles sur Internet. Les compagnies d’assurance auraient pu surveiller dans quelle mesure elles géraient la sécurité des informations et évaluer les risques d’assurance à partir des données historiques.
La police a trouvé une base de données, ou des données, utilisées pour extorquer Vastaamo sur un serveur loué par Scanif. Selon Kivimäki, cela a été une surprise pour lui. Les vingt serveurs utilisés par Scanifin ont été payés par la carte de crédit de Kivimäki.
“Je sais quelque chose”
INKA SOVERI
Aleksanteri Kivimäki ne savait pas comment qualifier ses compétences en informatique lors des interrogatoires. Il a dit qu’il savait utiliser un ordinateur, mais pas programmer.
– Je peux faire quelque chose sur l’ordinateur. Je ne programme pratiquement rien. Je sais utiliser un ordinateur, je ne suis pas vraiment amateur de programmation ou de développement de programmes, c’est le problème des autres.
Il a dit qu’il savait comment apporter de petites modifications aux programmes existants, en fonction du langage de programmation. Dès le début, il ne construit ni ne développe de programmes, selon ses propres mots.
– J’ai toujours dit qu’il serait plus facile d’embaucher quelqu’un d’autre pour le faire que d’y consacrer du temps moi-même.
Kivimäki a déclaré lors des interrogatoires qu’il considérait les accusations comme infondées. Il nie avoir piraté le serveur de Vastaamo, volé, extorqué ou divulgué les informations qui s’y trouvent. Kivimäki affirme qu’il connaît également personnellement les victimes de la violation de données.
– Je pense que c’est une astuce assez boiteuse, répondit Kivimäki à la question sur la publication de la base de données des patients.
LIRE AUSSI
Chronologie d’une violation de données
Le Vastaamo a subi une violation de données entre le 25 et le 26 novembre 2018, à la suite de laquelle l’intégralité de la base de données actuelle des patients du Vastaamo est soupçonnée d’avoir été divulguée en possession d’un tiers.
28.09.2020 Une lettre de chantage a été envoyée au guichet, exigeant une rançon en échange de la non-publication des informations sur les patients.
La rançon n’ayant pas été payée, les informations sur les patients ont commencé à être publiées sur Internet le 21 octobre 2020.
Le 23 octobre 2020, l’extorsion a accidentellement mis en ligne pendant quelques heures un fichier contenant une partie de la base de données des patients.
Le 24 octobre 2020, des lettres d’extorsion ont été envoyées aux clients de la réception exigeant une rançon pour la suppression des données des patients.
Au cours du chantage, le suspect a partagé des informations sur les patients sur le réseau dark Tor. Les informations sur les patients ont également été partagées sur un forum de discussion appelé Ylilauta.