33 Mil Vidas: O Maior Crime Cibernético da História da Finlândia
Um ataque cibernético sem precedentes expôs dados confidenciais de milhares de pacientes de uma clínica de terapia finlandesa, levando a consequências devastadoras. O artigo detalha a história do ataque, a negligência da empresa e a busca pelo criminoso, resultando em um dos maiores escândalos de segurança de dados da história.
MundiX News·09 de maio de 2026·15 min de leitura·👁 3 views
1024K+
Alcance em 30 dias
RUVDS.com
Hospedagem VDS/VPS. Desconto de 15% com o código
HABR15
3 918,15
Classificação
148 423
Assinantes
Assinar
Holmogorov
1 hora atrás
33 mil vidas: o maior crime cibernético da história da Finlândia
Simples
13 min
2.1K
Blog da empresa RUVDS.com
Segurança da Informação
*
Sala de Leitura
Retrospectiva
O sábado, 24 de outubro de 2020, foi chuvoso, ventoso e bastante frio - no entanto, esse clima pode ser chamado de típico para o outono em Helsinque. As pessoas se refugiavam da umidade fria em cafés e restaurantes aconchegantes, bebiam chá quente e vinho quente, tentando relaxar no fim de semana dos assuntos urgentes. De repente, seus telefones celulares - quase simultaneamente, com uma diferença de segundos - começaram a vibrar, sinalizando mensagens recebidas por e-mail. Estudantes, políticos, professores, médicos, motoristas e até desempregados olhavam para as telas com ansiedade e horror. Essas pessoas nunca haviam se encontrado antes e nunca se veriam na realidade. Eles não tinham nada em comum - exceto uma coisa: alguns anos atrás, cada um deles entrou no consultório de um psicoterapeuta da conhecida rede de centros de assistência psicológica Vastaamo e fechou a porta atrás de si. O que eles disseram atrás daquela porta deveria ter ficado lá para sempre. Mas agora um hacker desconhecido afirmava: ele tinha todos os registros dessas sessões, incluindo nomes, datas e, o mais importante, confissões detalhadas dos pacientes. Duzentos euros em bitcoins - e as informações roubadas não seriam publicadas em acesso público. Para pensar - vinte e quatro horas. O tempo começou.
Alguém decidiu ligar para a polícia imediatamente. Alguém olhou para a tela do telefone em estupor e pensou no que aconteceria se todos os seus segredos fossem revelados. Assim começou o que os jornalistas finlandeses mais tarde chamariam de o maior crime cibernético da história do país. Trinta e três mil cartas enviadas por um jovem loiro de cabelos claros, que, como a polícia descobriu com o tempo, se chamava Julius Kivimäki, e que a Interpol procurava sem sucesso há vários anos. Essa pessoa conseguiu hackear o site de uma empresa de terapia finlandesa que sonhava em mudar a abordagem da assistência psicológica, mas decidiu economizar na segurança.
Sessão de psicoterapia
A Finlândia é um dos poucos países onde o estado compensa os custos de saúde mental dos cidadãos. Mas "compensar os custos" não significa garantir a acessibilidade de psicólogos clínicos: as filas para especialistas no sistema de saúde estatal podem durar meses, e isso na melhor das hipóteses, às vezes você pode esperar um ano para sua consulta. Em geral, o estado não conseguiu satisfazer totalmente a demanda por assistência psicológica, e ela foi e continua sendo bastante alta. Clínicas privadas e consultórios de especialistas praticantes também não são adequados para todos: é caro e nem sempre estão disponíveis em todas as cidades. Foi nesse nicho que a startup chamada Vastaamo decidiu desenvolver seus negócios.
A empresa foi fundada pelo psicoterapeuta praticante Nina Tapio e seu filho, o programador Ville Tapio. Isso aconteceu em 2008. A ideia, que Ville originalmente inventou, foi bastante ousada: transformar a assistência psicológica em um serviço conveniente, semelhante a um mercado. Sem longas esperas ou filas, sem encaminhamentos do médico de família, sem constrangimento ao ligar para o balcão de registro. O paciente entrava no site, descrevia seu problema e o sistema, em 24 horas, selecionava o especialista certo para ele, que lhe dava uma resposta detalhada. Os psicólogos podiam se registrar independentemente no site da Vastaamo e, após a verificação, tinham a oportunidade de consultar pacientes por uma taxa. Em outras palavras, na fase inicial, a empresa funcionava como um serviço de telemedicina - na época, isso foi um experimento ousado para o setor conservador de saúde mental.
O serviço começou a ser procurado, a base de clientes cresceu rapidamente e a Vastaamo logo se tornou subcontratada do sistema de saúde estatal. Ou seja, parte dos pacientes veio por meio de canais oficiais - um papel importante no modelo financeiro da empresa foi desempenhado pelo Instituto Finlandês de Seguro Social chamado Kela. Os cidadãos finlandeses com idade entre 16 e 67 anos que possuem seguro de saúde, a Kela compensou uma parte significativa do custo das sessões de psicoterapia de reabilitação. Isso significava que a Vastaamo podia trabalhar com pacientes em massa - e não apenas com aqueles que estavam dispostos a pagar do próprio bolso. O subsídio estatal tornou esse serviço acessível a todos.
Consultas online, no entanto, foram apenas o começo. Muitos clientes não tiveram terapia suficiente pela internet, e o próximo passo foi a criação de uma rede de consultórios presenciais, que começaram a ser abertos não apenas em instituições médicas, mas também em locais com alta "taxa de tráfego" do público: por exemplo, em centros de escritórios. Ao mesmo tempo, Ville Tapio tentou digitalizar completamente tudo o que pode ser digitalizado - agendamentos, faturamento, documentação médica, cartões de pacientes e consultas. Terapeutas independentes que se juntaram à plataforma foram libertados da rotina administrativa: o sistema assumiu a programação, as finanças e a manutenção de registros médicos, deixando para o especialista sua principal função - trabalhar com pacientes.
A empresa cresceu como fermento. Em 2020, a Vastaamo abriu mais de vinte centros em todo o país e trabalhou com quatrocentos funcionários, dos quais trezentos eram psicoterapeutas. A receita anual ultrapassou 14 milhões de euros. Dezenas de milhares de pacientes confiaram à Vastaamo o mais íntimo - seus problemas, medos, complexos, desvios sexuais.
Atrás das cortinas da telemedicina
Para implementar seus planos napoleônicos, a Vastaamo precisava de um sistema eletrônico de informações médicas, mas Tapio não encontrou uma solução pronta adequada no mercado. Os produtos existentes pareciam sobrecarregados com funções desnecessárias ou desenvolvidos para outras especialidades médicas. Portanto, ele decidiu escrever todo o software para seu projeto sozinho - do zero. Ele preparou uma versão completa do complexo de software até 2012 - simultaneamente com a abertura do primeiro consultório presencial na área de Malmi, em Helsinque.
Ville não era um desenvolvedor profissional, ele se autodenominava um programador autodidata, e no processo de criação de uma nova plataforma, Tapio não atraiu especialistas externos para verificar a conformidade do software com os padrões de segurança. Percebendo que o volume de tarefas era muito grande, Ville logo contratou mais dois programadores, mas eles trabalharam sob contratos e, segundo eles, a segurança não era considerada uma prioridade na empresa: a ênfase era colocada no desenvolvimento de novas funções.
O programa de Ville Tapio rodava em um servidor como um CMS, a interface era exibida no navegador e todos os registros críticos, incluindo dados pessoais de pacientes e informações de prontuários médicos, eram armazenados em um banco de dados MySQL. Esse banco de dados continha nomes completos, endereços residenciais, e-mails, números de seguro social dos clientes, nomes de clínicas onde os pacientes foram consultados, bem como registros detalhados de psicoterapeutas para cada sessão. Incluindo informações sobre pensamentos suicidas, adultério, traumas infantis, vícios, violência doméstica. Para os terapeutas, a interface parecia conveniente e moderna: quando os especialistas vinham para uma entrevista, eles eram informados de como o sistema aceleraria seu trabalho. Ninguém lhes disse o que estava escondido sob o capô. Na verdade, a plataforma Vastaamo violava um dos principais princípios de segurança cibernética: os dados não foram anonimizados e nem mesmo criptografados. A única coisa que protegia as confissões e segredos dos pacientes de olhares indiscretos eram alguns firewalls e uma senha ao entrar no servidor.
Hacker finlandês quente
Alexanteri Julius Tomminpoika Kivimäki nasceu em 22 de agosto de 1997. Ele cresceu em Espoo - um subúrbio ocidental de Helsinque. A família desse jovem pode ser atribuída à classe média finlandesa: um bom bairro tranquilo, uma boa escola, em geral, nada nessa biografia prenunciava o que aconteceria com ele alguns anos depois.
Os pais chamavam seu filho pelo segundo nome - Julius. Ele conheceu o computador aos três anos de idade: seus parentes não proibiram o menino de passar tempo jogando, desde que ele não fosse um hooligan e não interferisse nos mais velhos. Logo, os jogos foram substituídos pela internet: Julius, como muitos de seus pares, passava todo o tempo livre em fóruns e chats IRC, preferindo recursos de hackers. Logo isso se tornou sua paixão e obsessão: no final, Julius foi expulso da escola por faltas e baixo desempenho.
Em 2008, exatamente quando a família Tapio fundou a empresa Vastaamo, Kivimäki conheceu um dos fundadores do grupo de hackers Hack the Planet na rede e se tornou um participante ativo. Hack the Planet - ou simplesmente HTP - não era uma equipe inofensiva de entusiastas que exploravam a segurança por curiosidade, mas uma estrutura bem coordenada especializada em hacks em massa de servidores corporativos e estatais. Os membros da HTP hackeavam servidores web por meio de vulnerabilidades conhecidas, e em 2012 Kivimäki, sob o pseudônimo de Ryan Cleary, já vendia acesso a um serviço DDoS por assinatura, operando com base em uma rede de servidores que ele havia hackeado. Naquele momento, ele tinha quinze anos.
Um dia, Julius brigou feio com outro membro da HTP - o adolescente americano Blair Streater, pelo qual ambos foram expulsos do grupo (Kivimäki foi então restaurado). Decidindo se vingar de seu oponente, Julius descobriu seu nome e endereço reais, após o que começou a pedir pizza e comida chinesa para Streater em casa, e um dia um caminhão despejou três toneladas de cascalho em frente à sua varanda. A eletricidade e a internet foram desligadas na casa de Streater - Kivimäki, em nome dos proprietários da casa, ligou para os provedores e informou sua intenção de rescindir o contrato. Então ele hackeou a conta da Tesla no Twitter* e postou lá o endereço residencial de Streater e seu telefone, informando que todos que ligassem para esse número e aparecessem pessoalmente no endereço especificado receberiam um carro elétrico gratuito. Mas Kivimäki não parou por aí: ele ligou em nome de Blair Streater para a polícia local e informou que ele havia matado sua namorada, ia matar seus pais e explodir todo o bairro - depois disso, Streater ficou três semanas na prisão local. E sua mãe foi demitida do trabalho depois que Kivimäki hackeou suas redes sociais e postou declarações antissemitas e racistas lá.
Temporariamente deixando a HTP, Julius juntou-se a outro grupo de hackers - Lizard Squad. Sob os pseudônimos "zeekill" e "ryan", ele participou de ataques DDoS em larga escala nos serviços de jogos PlayStation Network e Xbox Live no Natal de 2014. Paralelamente, Kivimäki se divertia ligando para os serviços de emergência com falsas denúncias de reféns, tiroteios e explosivos - para os endereços de três famílias americanas, forçando grupos de apreensão armados a invadir casas alheias. Uma das metas era a família de um agente do FBI que investigava as atividades de seu grupo de hackers. Além disso, usando dados roubados na rede de um passageiro real, ele relatou uma bomba a bordo de um avião da American Airlines voando de Dallas para San Diego - a aeronave foi redirecionada para o aeroporto de Phoenix, e a Força Aérea dos EUA levantou dois caças para escoltar. O alvo desse ataque foi o presidente da Sony Online Entertainment, John Smedley, que estava voando naquele voo: Kivimäki brigou com ele no Twitter*.
Em 2014, a polícia finlandesa prendeu o jovem hacker. Kivimäki foi acusado de 50.700 crimes em tecnologia da informação e crimes relacionados. A lista foi monstruosa em volume: hackeamento de servidores em todo o mundo, fraude financeira, gerenciamento de uma botnet de mais de 50.000 máquinas infectadas, organização de ataques cibernéticos. Os investigadores também apresentaram evidências de que ele comprou itens de luxo com dados de cartão de crédito roubados e usou dinheiro roubado para voar de férias para o México. No entanto, como Kivimäki era menor de idade no momento da prática de quase todos esses crimes, o tribunal o condenou a dois anos de prisão suspensa e apreendeu seu laptop Acer. Kivimäki tirou as conclusões corretas: após a sentença, ele mudou seu nome - de Julius para Alexanteri - e deixou a Finlândia imediatamente. Por vários anos, ele desfrutou de viagens: visitou a República Tcheca, Ucrânia, Emirados Árabes Unidos, depois se estabeleceu em Londres, onde alugou apartamentos chiques para si e sua namorada. No Twitter*, Kivimäki se chamava sem hesitar "o deus intocável dos hackers". Parecia que a história barulhenta havia terminado: o adolescente imprudente recebeu uma sentença suspensa, cresceu, ficou mais esperto e desapareceu do radar, e as agências de aplicação da lei pensaram da mesma forma. Mas eles estavam errados.
O maior crime cibernético da Finlândia
Em 2020, Kivimäki chamou a atenção para o serviço Vastaamo, que estava ganhando popularidade. Nesse ponto, a empresa de Ville Tapio já havia encontrado um investidor sério: em maio de 2019, a holding PTK Midco, de propriedade do fundo de investimento direto finlandês Intera Partners, adquiriu 70% das ações da Vastaamo, o valor do negócio foi de cerca de 9,5 milhões de euros. Este foi um sinal para o mercado: a startup de psicoterapia se transformou em um negócio sério com proprietários profissionais e ambições de expansão. Mas, tecnicamente, a Vastaamo ainda usava o código escrito pelo programador amador Ville Tapio, que rodava em um servidor mantido por vários administradores freelancers.
A Vastaamo tinha muitos clientes e, a cada dia, havia mais e mais, então os scripts geralmente não conseguiam lidar com a crescente carga. No período de 2017 a 2020, o CMS escrito por Tapio sofreu falhas regulares, como resultado, a equipe de TI incluiu acesso remoto ao servidor de banco de dados para que, se necessário, os administradores pudessem restaurá-lo de casa à noite. Essencialmente, isso significava que o servidor MySQL com registros de sessões terapêuticas podia ser conectado de qualquer lugar do mundo: ele não verificava endereços IP. Os funcionários também afirmaram que Tapio tinha o hábito de fazer alterações no código da plataforma diretamente, sem usar um sistema de controle de versão e não mantinha nenhuma documentação sensata, o que complicava ainda mais seu trabalho.
Quando Alexanteri Kivimäki, por curiosidade, começou a estudar a arquitetura da plataforma de TI da Vastaamo, ele ficou surpreso ao descobrir que a conta de superusuário root no servidor MySQL usava uma senha em branco: na verdade, qualquer pessoa que soubesse o endereço desse servidor poderia copiar e fazer upload do banco de dados inteiro. O que ele fez imediatamente. Naquele momento, a conta root pública no servidor MySQL da Vastaamo estava aberta há vários anos, pelo menos desde 26 de novembro de 2017, até que um dia de outubro de 2020, trinta e três mil de seus pacientes pagaram por isso.
A coisa mais curiosa é que esse hack, que dificilmente pode ser chamado de hack, estava longe de ser o primeiro. Uma investigação posterior mostrou: no momento da venda da participação majoritária da Vastaamo para a PTK Midco, Tapio já sabia o que o comprador não sabia: em pelo menos dois casos separados - em dezembro de 2018 e março de 2019 - um invasor não identificado já havia obtido acesso não autorizado ao banco de dados do serviço. Aparentemente, a Vastaamo deveria ter entendido que, já em março de 2019, todos os dados dos pacientes foram copiados e poderiam acabar com um invasor de terceiros. No entanto, Tapio não relatou esses incidentes nem à autoridade supervisora, nem aos pacientes afetados. A Intera Partners, tendo aprendido sobre isso após o escândalo, disse: "se tivéssemos essa informação, nenhum negócio teria acontecido".
Depois de obter uma cópia do banco de dados, Kivimäki contatou a Vastaamo e exigiu um resgate para não divulgar as informações, mas a empresa se recusou a pagar. Então o hacker enviou e-mails para todos os clientes do serviço. As mensagens diziam: "Qualquer preço que você tenha que pagar será pequeno em comparação com o dano que será causado à sua vida pessoal se publicarmos essas informações na internet". Muitos se apressaram em cumprir os requisitos do chantagista, mas alguns pacientes não tiveram essa oportunidade: no final, a polícia recebeu declarações de 24.000 vítimas das 33.000 pessoas que receberam mensagens de Kivimäki. Logo, o hacker realizou suas ameaças: ele começou a publicar o banco de dados vazado em partes na darknet, cem registros por dia, e de lá ele se espalhou por inúmeros fóruns e sites na internet.
A retribuição
Kivimäki era esperto - mas não cauteloso o suficiente. O erro fatal ocorreu no momento que deveria ser o ponto final: quando o script de publicação automática que ele escreveu de centenas de registros do banco de dados da Vastaamo por dia não funcionou como pretendido, e todo o arquivo foi para acesso público. Juntamente com 10,9 gigabytes de dados do paciente, algo mais vazou para a rede - o diretório inicial do usuário do servidor do qual a publicação foi feita. Havia muitas coisas interessantes lá: a pasta SSH privada do usuário, o histórico de conexões, que poderia ser cuidadosamente estudado. Entre aqueles que conseguiram baixar o arquivo antes de ser excluído estava Antti Kurittu - chefe de departamento da Nixu Corporation e ex-investigador.
O diretório inicial continha o histórico de comandos executados do servidor pertencente ao hacker e dados sobre os domínios aos quais ele tinha acesso. O fio do arquivo levava a um servidor virtual em um data center no município de Tuusula, ao sul de Helsinque. Os investigadores encontraram esse servidor, depois encontraram mais dois relacionados ao primeiro. O pagamento pelo aluguel de todas essas máquinas veio do cartão bancário pessoal de Kivimäki.
Então, os peritos forenses do Gabinete Nacional de Investigação da Finlândia começaram a rastrear as transações que os ex-clientes da Vastaamo transferiram para o chantagista. Juntamente com a bolsa de criptomoedas Binance, eles rastrearam o caminho das transferências de dinheiro: Kivimäki converteu Bitcoin em Monero, depois de volta para Bitcoin, tentando confundir os rastros, mas isso não ajudou. Em outubro de 2022, as autoridades finlandesas apresentaram acusações à revelia contra Kivimäki e emitiram um mandado de prisão europeu, colocando-o na lista de procurados. Mas o cara desapareceu como se tivesse sido engolido pela terra: era impossível encontrar e prender o hacker, ninguém sabia onde procurá-lo.
3 de fevereiro de 2023, às 7h20. Uma patrulha policial chegou a um chamado em um prédio residencial no subúrbio parisiense de Courbevoie, na margem esquerda do Sena, ao pé das torres de vidro de La Défense. O motivo da chamada foi banal: uma briga em um apartamento depois de uma boate.
A polícia foi recebida por uma jovem - a proprietária do apartamento alugado. Dentro, em um sofá, um homem dormia pacificamente, obviamente não totalmente sóbrio depois de uma longa e agitada noite. Quando ele foi acordado e solicitado a apresentar documentos, um loiro de cerca de 193 centímetros de altura com olhos verdes entregou um passaporte de cidadão romeno. A polícia duvidou: nem a aparência nem o sotaque do estrangeiro combinavam com a aparência típica dos súditos romenos. Eles compararam o nome no documento com a base de pessoas procuradas pela Europol - e tiraram as algemas: esse nome foi listado como o conhecido pseudônimo do criminoso cibernético finlandês Alexanteri Kivimäki. O loiro foi preso no local. Em 24 de fevereiro de 2023, ele foi extraditado para a Finlândia: assim, o "deus intocável dos hackers" foi preso por causa de uma briga bêbada com uma amiga que impediu os vizinhos de descansar.
O julgamento começou em novembro de 2023, a acusação tinha 2.200 páginas. Kivimäki permaneceu imperturbável: testemunhou com calma, às vezes permitindo-se piadas, mas negou categoricamente sua culpa. A defesa insistiu que o endereço IP dinâmico, do qual o invasor baixou o banco de dados Vastaamо, poderia ser usado por vários usuários do mesmo provedor. O tribunal não achou esse argumento convincente e afirmou que todas as evidências disponíveis apontavam para Kivimäki como o executor dos crimes, enquanto nenhum argumento a favor de sua inocência foi apresentado.
Em abril de 2024, o juiz anunciou a sentença: 9.598 casos de violação grave da privacidade, 21.316 casos de tentativa de extorsão e 20 casos de extorsão agravada, o tribunal avaliou em seis anos e três meses de prisão. Os advogados que representavam os interesses das vítimas argumentaram que não se tratava apenas de extorsão, mas também de um crime mais grave: "em alguns casos, a vítima tirou a própria vida depois que se soube do vazamento de dados. Alguns cometeram suicídio durante a investigação criminal. Há também aqueles que disseram que estavam muito perto disso - tanto que tudo isso se tornou insuportável para eles".
A Vastaamo não sobreviveu ao escândalo: em janeiro de 2021, a empresa entrou com pedido de falência. Os ativos neste momento eram de 2,2 milhões de euros, os contratos dos clientes foram transferidos para outra empresa, Verve, e as vítimas receberam apenas 90 euros de compensação da massa falida total. Após esse incidente, que os jornalistas apelidaram de "o maior crime cibernético da história da Finlândia", o governo adotou um pacote de medidas de emergência: em particular, a legislação foi simplificada, permitindo a alteração do número de seguro social nos casos em que isso é necessário para evitar fraudes com dados pessoais. Todas as empresas médicas privadas foram obrigadas a mudar para a plataforma estatal Kanta, e após a falência da Vastaamo, o regulador finlandês de proteção de dados multou essa empresa em 608.000 euros - 4,16% do faturamento da empresa em 2020, o que se tornou a maior multa na história da aplicação do GDPR na Finlândia. O regulador afirmou que a Vastaamo não implementou nem mesmo as medidas de proteção mais básicas, e sua inação em notificar as vítimas foi intencional.
Tags:
hack
hacker
hacking
hack de sites
segurança da informação
Vastaamo
Kivimäki
ruvds_artigos
Hubs:
Blog da empresa RUVDS.com
Segurança da Informação
Sala de Leitura
+13
2
1
1024K+
Alcance em 30 dias
RUVDS.com
Hospedagem VDS/VPS. Desconto de 15% com o código
HABR15
Telegram
VKontakte
X
8K+
Alcance em 30 dias
257
Carma
Valentin Kholmogorov
@Holmogorov
Analista, editor, escritor
Assinar
Comentários 1
Melhor do dia
Semelhante
1024K+
Alcance em 30 dias
RUVDS.com
Hospedagem VDS/VPS. Desconto de 15% com o código
HABR15
3 918,15
Classificação
148 423
Assinantes
Assinar
Holmogorov
1 hora atrás
33 mil vidas: o maior crime cibernético da história da Finlândia
Simples
13 min
2.1K
Blog da empresa RUVDS.com
Segurança da Informação
*
Sala de Leitura
Retrospectiva
O sábado, 24 de outubro de 2020, foi chuvoso, ventoso e bastante frio - no entanto, esse clima pode ser chamado de típico para o outono em Helsinque. As pessoas se refugiavam da umidade fria em cafés e restaurantes aconchegantes, bebiam chá quente e vinho quente, tentando relaxar no fim de semana dos assuntos urgentes. De repente, seus telefones celulares - quase simultaneamente, com uma diferença de segundos - começaram a vibrar, sinalizando mensagens recebidas por e-mail. Estudantes, políticos, professores, médicos, motoristas e até desempregados olhavam para as telas com ansiedade e horror. Essas pessoas nunca haviam se encontrado antes e nunca se veriam na realidade. Eles não tinham nada em comum - exceto uma coisa: alguns anos atrás, cada um deles entrou no consultório de um psicoterapeuta da conhecida rede de centros de assistência psicológica Vastaamo e fechou a porta atrás de si. O que eles disseram atrás daquela porta deveria ter ficado lá para sempre. Mas agora um hacker desconhecido afirmava: ele tinha todos os registros dessas sessões, incluindo nomes, datas e, o mais importante, confissões detalhadas dos pacientes. Duzentos euros em bitcoins - e as informações roubadas não seriam publicadas em acesso público. Para pensar - vinte e quatro horas. O tempo começou.
Alguém decidiu ligar para a polícia imediatamente. Alguém olhou para a tela do telefone em estupor e pensou no que aconteceria se todos os seus segredos fossem revelados. Assim começou o que os jornalistas finlandeses mais tarde chamariam de o maior crime cibernético da história do país. Trinta e três mil cartas enviadas por um jovem loiro de cabelos claros, que, como a polícia descobriu com o tempo, se chamava Julius Kivimäki, e que a Interpol procurava sem sucesso há vários anos. Essa pessoa conseguiu hackear o site de uma empresa de terapia finlandesa que sonhava em mudar a abordagem da assistência psicológica, mas decidiu economizar na segurança.
Sessão de psicoterapia
A Finlândia é um dos poucos países onde o estado compensa os custos de saúde mental dos cidadãos. Mas "compensar os custos" não significa garantir a acessibilidade de psicólogos clínicos: as filas para especialistas no sistema de saúde estatal podem durar meses, e isso na melhor das hipóteses, às vezes você pode esperar um ano para sua consulta. Em geral, o estado não conseguiu satisfazer totalmente a demanda por assistência psicológica, e ela foi e continua sendo bastante alta. Clínicas privadas e consultórios de especialistas praticantes também não são adequados para todos: é caro e nem sempre estão disponíveis em todas as cidades. Foi nesse nicho que a startup chamada Vastaamo decidiu desenvolver seus negócios.
A empresa foi fundada pelo psicoterapeuta praticante Nina Tapio e seu filho, o programador Ville Tapio. Isso aconteceu em 2008. A ideia, que Ville originalmente inventou, foi bastante ousada: transformar a assistência psicológica em um serviço conveniente, semelhante a um mercado. Sem longas esperas ou filas, sem encaminhamentos do médico de família, sem constrangimento ao ligar para o balcão de registro. O paciente entrava no site, descrevia seu problema e o sistema, em 24 horas, selecionava o especialista certo para ele, que lhe dava uma resposta detalhada. Os psicólogos podiam se registrar independentemente no site da Vastaamo e, após a verificação, tinham a oportunidade de consultar pacientes por uma taxa. Em outras palavras, na fase inicial, a empresa funcionava como um serviço de telemedicina - na época, isso foi um experimento ousado para o setor conservador de saúde mental.
O serviço começou a ser procurado, a base de clientes cresceu rapidamente e a Vastaamo logo se tornou subcontratada do sistema de saúde estatal. Ou seja, parte dos pacientes veio por meio de canais oficiais - um papel importante no modelo financeiro da empresa foi desempenhado pelo Instituto Finlandês de Seguro Social chamado Kela. Os cidadãos finlandeses com idade entre 16 e 67 anos que possuem seguro de saúde, a Kela compensou uma parte significativa do custo das sessões de psicoterapia de reabilitação. Isso significava que a Vastaamo podia trabalhar com pacientes em massa - e não apenas com aqueles que estavam dispostos a pagar do próprio bolso. O subsídio estatal tornou esse serviço acessível a todos.
Consultas online, no entanto, foram apenas o começo. Muitos clientes não tiveram terapia suficiente pela internet, e o próximo passo foi a criação de uma rede de consultórios presenciais, que começaram a ser abertos não apenas em instituições médicas, mas também em locais com alta "taxa de tráfego" do público: por exemplo, em centros de escritórios. Ao mesmo tempo, Ville Tapio tentou digitalizar completamente tudo o que pode ser digitalizado - agendamentos, faturamento, documentação médica, cartões de pacientes e consultas. Terapeutas independentes que se juntaram à plataforma foram libertados da rotina administrativa: o sistema assumiu a programação, as finanças e a manutenção de registros médicos, deixando para o especialista sua principal função - trabalhar com pacientes.
A empresa cresceu como fermento. Em 2020, a Vastaamo abriu mais de vinte centros em todo o país e trabalhou com quatrocentos funcionários, dos quais trezentos eram psicoterapeutas. A receita anual ultrapassou 14 milhões de euros. Dezenas de milhares de pacientes confiaram à Vastaamo o mais íntimo - seus problemas, medos, complexos, desvios sexuais.
Atrás das cortinas da telemedicina
Para implementar seus planos napoleônicos, a Vastaamo precisava de um sistema eletrônico de informações médicas, mas Tapio não encontrou uma solução pronta adequada no mercado. Os produtos existentes pareciam sobrecarregados com funções desnecessárias ou desenvolvidos para outras especialidades médicas. Portanto, ele decidiu escrever todo o software para seu projeto sozinho - do zero. Ele preparou uma versão completa do complexo de software até 2012 - simultaneamente com a abertura do primeiro consultório presencial na área de Malmi, em Helsinque.
Ville não era um desenvolvedor profissional, ele se autodenominava um programador autodidata, e no processo de criação de uma nova plataforma, Tapio não atraiu especialistas externos para verificar a conformidade do software com os padrões de segurança. Percebendo que o volume de tarefas era muito grande, Ville logo contratou mais dois programadores, mas eles trabalharam sob contratos e, segundo eles, a segurança não era considerada uma prioridade na empresa: a ênfase era colocada no desenvolvimento de novas funções.
O programa de Ville Tapio rodava em um servidor como um CMS, a interface era exibida no navegador e todos os registros críticos, incluindo dados pessoais de pacientes e informações de prontuários médicos, eram armazenados em um banco de dados MySQL. Esse banco de dados continha nomes completos, endereços residenciais, e-mails, números de seguro social dos clientes, nomes de clínicas onde os pacientes foram consultados, bem como registros detalhados de psicoterapeutas para cada sessão. Incluindo informações sobre pensamentos suicidas, adultério, traumas infantis, vícios, violência doméstica. Para os terapeutas, a interface parecia conveniente e moderna: quando os especialistas vinham para uma entrevista, eles eram informados de como o sistema aceleraria seu trabalho. Ninguém lhes disse o que estava escondido sob o capô. Na verdade, a plataforma Vastaamo violava um dos principais princípios de segurança cibernética: os dados não foram anonimizados e nem mesmo criptografados. A única coisa que protegia as confissões e segredos dos pacientes de olhares indiscretos eram alguns firewalls e uma senha ao entrar no servidor.
Hacker finlandês quente
Alexanteri Julius Tomminpoika Kivimäki nasceu em 22 de agosto de 1997. Ele cresceu em Espoo - um subúrbio ocidental de Helsinque. A família desse jovem pode ser atribuída à classe média finlandesa: um bom bairro tranquilo, uma boa escola, em geral, nada nessa biografia prenunciava o que aconteceria com ele alguns anos depois.
Os pais chamavam seu filho pelo segundo nome - Julius. Ele conheceu o computador aos três anos de idade: seus parentes não proibiram o menino de passar tempo jogando, desde que ele não fosse um hooligan e não interferisse nos mais velhos. Logo, os jogos foram substituídos pela internet: Julius, como muitos de seus pares, passava todo o tempo livre em fóruns e chats IRC, preferindo recursos de hackers. Logo isso se tornou sua paixão e obsessão: no final, Julius foi expulso da escola por faltas e baixo desempenho.
Em 2008, exatamente quando a família Tapio fundou a empresa Vastaamo, Kivimäki conheceu um dos fundadores do grupo de hackers Hack the Planet na rede e se tornou um participante ativo. Hack the Planet - ou simplesmente HTP - não era uma equipe inofensiva de entusiastas que exploravam a segurança por curiosidade, mas uma estrutura bem coordenada especializada em hacks em massa de servidores corporativos e estatais. Os membros da HTP hackeavam servidores web por meio de vulnerabilidades conhecidas, e em 2012 Kivimäki, sob o pseudônimo de Ryan Cleary, já vendia acesso a um serviço DDoS por assinatura, operando com base em uma rede de servidores que ele havia hackeado. Naquele momento, ele tinha quinze anos.
Um dia, Julius brigou feio com outro membro da HTP - o adolescente americano Blair Streater, pelo qual ambos foram expulsos do grupo (Kivimäki foi então restaurado). Decidindo se vingar de seu oponente, Julius descobriu seu nome e endereço reais, após o que começou a pedir pizza e comida chinesa para Streater em casa, e um dia um caminhão despejou três toneladas de cascalho em frente à sua varanda. A eletricidade e a internet foram desligadas na casa de Streater - Kivimäki, em nome dos proprietários da casa, ligou para os provedores e informou sua intenção de rescindir o contrato. Então ele hackeou a conta da Tesla no Twitter* e postou lá o endereço residencial de Streater e seu telefone, informando que todos que ligassem para esse número e aparecessem pessoalmente no endereço especificado receberiam um carro elétrico gratuito. Mas Kivimäki não parou por aí: ele ligou em nome de Blair Streater para a polícia local e informou que ele havia matado sua namorada, ia matar seus pais e explodir todo o bairro - depois disso, Streater ficou três semanas na prisão local. E sua mãe foi demitida do trabalho depois que Kivimäki hackeou suas redes sociais e postou declarações antissemitas e racistas lá.
Temporariamente deixando a HTP, Julius juntou-se a outro grupo de hackers - Lizard Squad. Sob os pseudônimos "zeekill" e "ryan", ele participou de ataques DDoS em larga escala nos serviços de jogos PlayStation Network e Xbox Live no Natal de 2014. Paralelamente, Kivimäki se divertia ligando para os serviços de emergência com falsas denúncias de reféns, tiroteios e explosivos - para os endereços de três famílias americanas, forçando grupos de apreensão armados a invadir casas alheias. Uma das metas era a família de um agente do FBI que investigava as atividades de seu grupo de hackers. Além disso, usando dados roubados na rede de um passageiro real, ele relatou uma bomba a bordo de um avião da American Airlines voando de Dallas para San Diego - a aeronave foi redirecionada para o aeroporto de Phoenix, e a Força Aérea dos EUA levantou dois caças para escoltar. O alvo desse ataque foi o presidente da Sony Online Entertainment, John Smedley, que estava voando naquele voo: Kivimäki brigou com ele no Twitter*.
Em 2014, a polícia finlandesa prendeu o jovem hacker. Kivimäki foi acusado de 50.700 crimes em tecnologia da informação e crimes relacionados. A lista foi monstruosa em volume: hackeamento de servidores em todo o mundo, fraude financeira, gerenciamento de uma botnet de mais de 50.000 máquinas infectadas, organização de ataques cibernéticos. Os investigadores também apresentaram evidências de que ele comprou itens de luxo com dados de cartão de crédito roubados e usou dinheiro roubado para voar de férias para o México. No entanto, como Kivimäki era menor de idade no momento da prática de quase todos esses crimes, o tribunal o condenou a dois anos de prisão suspensa e apreendeu seu laptop Acer. Kivimäki tirou as conclusões corretas: após a sentença, ele mudou seu nome - de Julius para Alexanteri - e deixou a Finlândia imediatamente. Por vários anos, ele desfrutou de viagens: visitou a República Tcheca, Ucrânia, Emirados Árabes Unidos, depois se estabeleceu em Londres, onde alugou apartamentos chiques para si e sua namorada. No Twitter*, Kivimäki se chamava sem hesitar "o deus intocável dos hackers". Parecia que a história barulhenta havia terminado: o adolescente imprudente recebeu uma sentença suspensa, cresceu, ficou mais esperto e desapareceu do radar, e as agências de aplicação da lei pensaram da mesma forma. Mas eles estavam errados.
O maior crime cibernético da Finlândia
Em 2020, Kivimäki chamou a atenção para o serviço Vastaamo, que estava ganhando popularidade. Nesse ponto, a empresa de Ville Tapio já havia encontrado um investidor sério: em maio de 2019, a holding PTK Midco, de propriedade do fundo de investimento direto finlandês Intera Partners, adquiriu 70% das ações da Vastaamo, o valor do negócio foi de cerca de 9,5 milhões de euros. Este foi um sinal para o mercado: a startup de psicoterapia se transformou em um negócio sério com proprietários profissionais e ambições de expansão. Mas, tecnicamente, a Vastaamo ainda usava o código escrito pelo programador amador Ville Tapio, que rodava em um servidor mantido por vários administradores freelancers.
A Vastaamo tinha muitos clientes e, a cada dia, havia mais e mais, então os scripts geralmente não conseguiam lidar com a crescente carga. No período de 2017 a 2020, o CMS escrito por Tapio sofreu falhas regulares, como resultado, a equipe de TI incluiu acesso remoto ao servidor de banco de dados para que, se necessário, os administradores pudessem restaurá-lo de casa à noite. Essencialmente, isso significava que o servidor MySQL com registros de sessões terapêuticas podia ser conectado de qualquer lugar do mundo: ele não verificava endereços IP. Os funcionários também afirmaram que Tapio tinha o hábito de fazer alterações no código da plataforma diretamente, sem usar um sistema de controle de versão e não mantinha nenhuma documentação sensata, o que complicava ainda mais seu trabalho.
Quando Alexanteri Kivimäki, por curiosidade, começou a estudar a arquitetura da plataforma de TI da Vastaamo, ele ficou surpreso ao descobrir que a conta de superusuário root no servidor MySQL usava uma senha em branco: na verdade, qualquer pessoa que soubesse o endereço desse servidor poderia copiar e fazer upload do banco de dados inteiro. O que ele fez imediatamente. Naquele momento, a conta root pública no servidor MySQL da Vastaamo estava aberta há vários anos, pelo menos desde 26 de novembro de 2017, até que um dia de outubro de 2020, trinta e três mil de seus pacientes pagaram por isso.
A coisa mais curiosa é que esse hack, que dificilmente pode ser chamado de hack, estava longe de ser o primeiro. Uma investigação posterior mostrou: no momento da venda da participação majoritária da Vastaamo para a PTK Midco, Tapio já sabia o que o comprador não sabia: em pelo menos dois casos separados - em dezembro de 2018 e março de 2019 - um invasor não identificado já havia obtido acesso não autorizado ao banco de dados do serviço. Aparentemente, a Vastaamo deveria ter entendido que, já em março de 2019, todos os dados dos pacientes foram copiados e poderiam acabar com um invasor de terceiros. No entanto, Tapio não relatou esses incidentes nem à autoridade supervisora, nem aos pacientes afetados. A Intera Partners, tendo aprendido sobre isso após o escândalo, disse: "se tivéssemos essa informação, nenhum negócio teria acontecido".
Depois de obter uma cópia do banco de dados, Kivimäki contatou a Vastaamo e exigiu um resgate para não divulgar as informações, mas a empresa se recusou a pagar. Então o hacker enviou e-mails para todos os clientes do serviço. As mensagens diziam: "Qualquer preço que você tenha que pagar será pequeno em comparação com o dano que será causado à sua vida pessoal se publicarmos essas informações na internet". Muitos se apressaram em cumprir os requisitos do chantagista, mas alguns pacientes não tiveram essa oportunidade: no final, a polícia recebeu declarações de 24.000 vítimas das 33.000 pessoas que receberam mensagens de Kivimäki. Logo, o hacker realizou suas ameaças: ele começou a publicar o banco de dados vazado em partes na darknet, cem registros por dia, e de lá ele se espalhou por inúmeros fóruns e sites na internet.
A retribuição
Kivimäki era esperto - mas não cauteloso o suficiente. O erro fatal ocorreu no momento que deveria ser o ponto final: quando o script de publicação automática que ele escreveu de centenas de registros do banco de dados da Vastaamo por dia não funcionou como pretendido, e todo o arquivo foi para acesso público. Juntamente com 10,9 gigabytes de dados do paciente, algo mais vazou para a rede - o diretório inicial do usuário do servidor do qual a publicação foi feita. Havia muitas coisas interessantes lá: a pasta SSH privada do usuário, o histórico de conexões, que poderia ser cuidadosamente estudado. Entre aqueles que conseguiram baixar o arquivo antes de ser excluído estava Antti Kurittu - chefe de departamento da Nixu Corporation e ex-investigador.
O diretório inicial continha o histórico de comandos executados do servidor pertencente ao hacker e dados sobre os domínios aos quais ele tinha acesso. O fio do arquivo levava a um servidor virtual em um data center no município de Tuusula, ao sul de Helsinque. Os investigadores encontraram esse servidor, depois encontraram mais dois relacionados ao primeiro. O pagamento pelo aluguel de todas essas máquinas veio do cartão bancário pessoal de Kivimäki.
Então, os peritos forenses do Gabinete Nacional de Investigação da Finlândia começaram a rastrear as transações que os ex-clientes da Vastaamo transferiram para o chantagista. Juntamente com a bolsa de criptomoedas Binance, eles rastrearam o caminho das transferências de dinheiro: Kivimäki converteu Bitcoin em Monero, depois de volta para Bitcoin, tentando confundir os rastros, mas isso não ajudou. Em outubro de 2022, as autoridades finlandesas apresentaram acusações à revelia contra Kivimäki e emitiram um mandado de prisão europeu, colocando-o na lista de procurados. Mas o cara desapareceu como se tivesse sido engolido pela terra: era impossível encontrar e prender o hacker, ninguém sabia onde procurá-lo.
3 de fevereiro de 2023, às 7h20. Uma patrulha policial chegou a um chamado em um prédio residencial no subúrbio parisiense de Courbevoie, na margem esquerda do Sena, ao pé das torres de vidro de La Défense. O motivo da chamada foi banal: uma briga em um apartamento depois de uma boate.
A polícia foi recebida por uma jovem - a proprietária do apartamento alugado. Dentro, em um sofá, um homem dormia pacificamente, obviamente não totalmente sóbrio depois de uma longa e agitada noite. Quando ele foi acordado e solicitado a apresentar documentos, um loiro de cerca de 193 centímetros de altura com olhos verdes entregou um passaporte de cidadão romeno. A polícia duvidou: nem a aparência nem o sotaque do estrangeiro combinavam com a aparência típica dos súditos romenos. Eles compararam o nome no documento com a base de pessoas procuradas pela Europol - e tiraram as algemas: esse nome foi listado como o conhecido pseudônimo do criminoso cibernético finlandês Alexanteri Kivimäki. O loiro foi preso no local. Em 24 de fevereiro de 2023, ele foi extraditado para a Finlândia: assim, o "deus intocável dos hackers" foi preso por causa de uma briga bêbada com uma amiga que impediu os vizinhos de descansar.
O julgamento começou em novembro de 2023, a acusação tinha 2.200 páginas. Kivimäki permaneceu imperturbável: testemunhou com calma, às vezes permitindo-se piadas, mas negou categoricamente sua culpa. A defesa insistiu que o endereço IP dinâmico, do qual o invasor baixou o banco de dados Vastaamо, poderia ser usado por vários usuários do mesmo provedor. O tribunal não achou esse argumento convincente e afirmou que todas as evidências disponíveis apontavam para Kivimäki como o executor dos crimes, enquanto nenhum argumento a favor de sua inocência foi apresentado.
Em abril de 2024, o juiz anunciou a sentença: 9.598 casos de violação grave da privacidade, 21.316 casos de tentativa de extorsão e 20 casos de extorsão agravada, o tribunal avaliou em seis anos e três meses de prisão. Os advogados que representavam os interesses das vítimas argumentaram que não se tratava apenas de extorsão, mas também de um crime mais grave: "em alguns casos, a vítima tirou a própria vida depois que se soube do vazamento de dados. Alguns cometeram suicídio durante a investigação criminal. Há também aqueles que disseram que estavam muito perto disso - tanto que tudo isso se tornou insuportável para eles".
A Vastaamo não sobreviveu ao escândalo: em janeiro de 2021, a empresa entrou com pedido de falência. Os ativos neste momento eram de 2,2 milhões de euros, os contratos dos clientes foram transferidos para outra empresa, Verve, e as vítimas receberam apenas 90 euros de compensação da massa falida total. Após esse incidente, que os jornalistas apelidaram de "o maior crime cibernético da história da Finlândia", o governo adotou um pacote de medidas de emergência: em particular, a legislação foi simplificada, permitindo a alteração do número de seguro social nos casos em que isso é necessário para evitar fraudes com dados pessoais. Todas as empresas médicas privadas foram obrigadas a mudar para a plataforma estatal Kanta, e após a falência da Vastaamo, o regulador finlandês de proteção de dados multou essa empresa em 608.000 euros - 4,16% do faturamento da empresa em 2020, o que se tornou a maior multa na história da aplicação do GDPR na Finlândia. O regulador afirmou que a Vastaamo não implementou nem mesmo as medidas de proteção mais básicas, e sua inação em notificar as vítimas foi intencional.
Tags:
hack
hacker
hacking
hack de sites
segurança da informação
Vastaamo
Kivimäki
ruvds_artigos
Hubs:
Blog da empresa RUVDS.com
Segurança da Informação
Sala de Leitura
+13
2
1
1024K+
Alcance em 30 dias
RUVDS.com
Hospedagem VDS/VPS. Desconto de 15% com o código
HABR15
Telegram
VKontakte
X
8K+
Alcance em 30 dias
257
Carma
Valentin Kholmogorov
@Holmogorov
Analista, editor, escritor
Assinar
Comentários 1
Melhor do dia
Semelhante
