Tietosuoja
Tai toisin sanoen tietosuojattomuus. Alunperin minun ei ollut tarkoitus kirjoittaa tästä laisinkaan, mutta ehkä asiasta on silti parempi mainita. Kyseessä on siis erään tietyn pikavippifirman tietosuojapolitiikka, joka oli ainakin tämän sattuessa täysin retuperällä.
Mukana siis pikavippifirma A, minä ja tuhannet, ellei kymmenettuhannet muutkin asiakkaat.
Tapaus sai alkunsa elokuussa, kun äkillinen rahantarve iski ja otin pikavipin pikavippifirmasta A. Rahat tulivatkin luonnollisesti tilille nopeasti ja paluuviestin mukana saapuivat tunnukset firman nettisivuille, joilla pystyy tarkistamaan lainan tilanteen, mutta tähän en vielä siinä vaiheessa kiinnittänyt sen enempää huomiota.
Noin viikkoa myöhemmin, perjantaina 8.8, päätin kumminkin tarkistaa tiedot ja kirjauduin näillä tunnuksilla sisään pikavippifirman A:n asiakaspaneeliin ja omat tietoni näkyivätkin oikein, kuten lainasumma, koko nimeni, osoitteeni, sosiaaliturvatunnukseni ja muut henkilökohtaiset tiedot (kuva alla).
Varmuuden vuoksi päätin ottaa kuitenkin tämän tositteen talteen, joten klikkasin yläkulmassa näkyvää “tulostettava / tallennettava muoto” -tekstiä, jolloin avautui mahdollisuus tallentaa tiedot PDF-muodossa kotikoneelle.
Itsekkin ohjelmointia harrastavana silmiini pisti silti se, että “tulostettava / tallennettava muoto” -linkissä kuljetettiin mukana ID-numeroa (x.phtml?hakemukset_id=HAKEMUKSEN_ID. Ensin ajattelin, että ihmisten henkilökohtaisia tietoja käsittelevänä yrityksenä ei sorruttaisi seuraavaan ongelmaan, mutta uteliaisuus vei silti voiton ja päätin kokeilla vaihtaa hakemukset_id -muuttujaa. Eli omani oli muotoa 123456789, mutta muutin ID:n muotoon 987654321 ja mitä tapahtuikaan – tarjottavaksi avautui jälleen latausikkuna, josta kokenin normaaliin tapaan avamaan tai tallentamaan PDF-dokumentin. Pelko riipaisi jo selkäpiitä, mutta ajattelin, että vain omat tietoni avautuvat käsittelyyn, mutta olin jälleen väärässä, sillä silmieni eteen avautui täysin tuntemattoman pikavippifirma A:n asiakkaan tiedot sosiaaliturvatunnuksieen ja pankkinumeroineen (kuva alla, tiedot sensuroitu).
Päätin testata vielä muutamalla muulla ID-numerolla ja jälleen minulle täysin tuntemattomien ihmisten tiedot aukenivat silmieni edessä. Koska oli perjantaiyö eikä pikavippifirma A:n asiakaspalvelu ollut enää auki, niin en ollut täysin varma miten edetä asian suhteen. Jos minä huomasin näinkin yksinkertaisen virheen tietosuojassa, niin tuskin olen ollut ainoa enkä todellakaan halua, että tietoni vuotaisivat tuntemattomille.
Mainitsin tästä asiasta IRC:ssä ja ensimmäisenä ajatuksena ihmisillä oli se, että ilmoittaisin asiasta CERT-FI:lle pykälän “yksityisten henkilöiden, yrityksien, organisaatioiden tai hallinnon tietojärjestelmiin kohdistuneissa tietoturvaloukkauksissa tai niiden yrityksissä” nojalla, joka mainitaan CERT-FI:n nettisivuilla ja sen tein samantien. Samalla lähti viestit myös Suomen Pienlainayhdistykselle, jonka jäsen pikavippifirma A on sekä luonnollisesti myös itse pikavippifirma A:n asiakaspalveluun.
Seuraavana päivänä sainkin sähköpostin pikavippifirma A:lta, jossa he ilmoittivat sulkeneensa arkistonsa ja tutkivansa ongelmaa. Paria päivää myöhemmin myös CERT-FI vastasi ja ilmoitti tutkivansa asiaa, että kuuluuko tämä tietosuojaloukkaus heille vaiko tietosuojavaltuutetulle, tosin tämän asian etenemisestä minulla ei ole tietoa.
Kirjoitushetkellä pikavippifirma A:n arkisto on jälleen auki, mutta koska minulla ei ole nykyään tunnuksia ko. arkistoon, niin en tiedä onko kirjoittamani ongelma korjattu. Todellakin toivon, että on.
Kirjoituksen tarkoitus ei ole provosoida kokeilemaan näitä reikiä tietokannoissa, mutta toivon, että tämä otettaisiin varoituksena henkilötietoja käsittelevissä yrityksissä tai/ja nettisivuilla ja mahdolliset virheet ja puutteet korjattaisiin pikimmiten. Suuri yleisö löytää ne ennemmin tai myöhemmin.
