Helsingin Uusyrityskeskuksen ylläpitämä Liiketoimintasuunnitelma.com-palvelu on joutunut tietomurron kohteeksi. Kyseessä on yksi Suomen suurimmista tietomurtotapauksista.

Kaikille avoimessa palvelussa on noin 130 000 käyttäjätunnusta ja salasanaa, jotka ovat vuotaneet vääriin käsiin, Helsingin Uusyrityskeskus kertoo. Uusyrityskeskus ja Viestintäviraston kyberturvallisuuskeskus kertoivat murrosta viime perjantaina.

Tietomurron kohteena ollut palvelu on tarkoitettu liiketoimintasuunnitelman luomiseen, ja vuotaneiden tietojen joukossa saattaa olla myös liiketoimintasuunnitelmien yksityiskohtia. Tapauksesta on tehty rikosilmoitus Helsingin poliisille, ja tapauksen tutkinta on kesken. Tässä vaiheessa Helsingin Uusyrityskeskuksella tai poliisilla ei ole vielä tietoa vuotaneiden tietojen tarkasta laajuudesta.

Erityisen vakavan murrosta tekee se, että palvelussa säilytettiin käyttäjien salasanat selväkielisenä. Koska salasanat ovat selväkielisiä, salasanat tietävä taho voi käyttää niitä saman tien, Kyberturvallisuuskeskus varoittaa. Vaara koskee niitä käyttäjiä, jotka ovat käyttäneet samaa käyttäjätunnuksen eli useimmiten sähköpostiosoitteen ja salasanan yhdistelmää myös muissa palveluissa.

Yleensä käyttäjien salasanoja ei säilytetä palvelimella selväkielisenä. Normaali tapa salasanojen varmistamiseen on muodostaa niistä kryptografinen tiiviste (hash). Salasana voidaan purkaa myös tiivisteestä, mutta se vaatisi hyökkääjältä merkittävää lisävaivaa etenkin pidempien salasanojen tapauksessa.

Kyberturvallisuuskeskuksen tiedossa ei ole, että toistaiseksi tiedot olisivat netissä vapaasti jaettavana. Rikolliset ovat kuitenkin todennäköisesti jakaneet tietoja keskenään.

Tietomurto havaittiin alun perin 3. huhtikuuta Viestintäviraston Kyberturvallisuuskeskuksen normaalissa tarkkailussa.

”Olemme erittäin pahoillamme kaikkien niiden henkilöiden puolesta, jotka ovat joutuneet rikoksen uhriksi, ja joille tästä tapauksesta voi koitua henkistä tai taloudellista haittaa”, sanoo tiedotteessa Helsingin Uusyrityskeskuksen hallituksen puheenjohtaja Jarmo Hyökyvaara.

”Palvelun ylläpidosta ja tietoturvasta vastasi alihankkijamme, joka on pitkäaikainen kumppanimme. Valitettavasti palvelun tietoturva ei ole ollut riittävä estääkseen tämän tapaisen hyökkäyksen. Tämä on siis osittain meidän virheemme, ja palvelun tilaajana ja omistajana kannamme asiasta vastuumme”, Hyökyvaara jatkaa.

Helsingin Uusyrityskeskus ry on itsenäinen yhdistys, joka muun muassa tuottaa Helsingin kaupungille yrityspalveluneuvonnan palvelukokonaisuuksia. Tietomurron kohteena ollut Liiketoimintasuunnitelma.com-palvelu on osa tätä kokonaisuutta.