Alkuperäinen otsikko: ”Onko Antti Laaksonen vielä mukana?”
Hei,
Olen nykyisin eläkkeellä oleva koodari, jolle iski bittinikkarointi takaisin lähinnä huvina.
Yksi mielestäni tosi iso asia vaivaa: KELA vuotaa ja täysillä, halutustiko? Pääsee heittämällä yksittäisen ihmisen terveystietoihin käsiksi, jos niin haluaa. En tee henkilökohtaisesti näillä tiedoilla kerrassaan yhtään mitään, mutta esim. joku hämärä rekrytoija tai vaikkapa joku kiristelijä voisi halutessaan käyttää näitä tietoja surutta hyväkseen.
Ainakin meidän pitäisi olla jotenkin menossa mukana!
Löysitkö minun tiedot sieltä vai miten asia liittyy minuun?
Muakin vähän ihmetyttää avauspostauksen sanoma.
On selvää, että organisaation tietoinfrassa yleensä ainakin jokin tietokone on liitettynä julkiseen verkkon, niin jos joku haluaa kaivaa jonkun tiedon välttämättä sieltä, niin se on mahdollista.
Vastaamo-case noussut julkisuusarvoltaan suureksi, mutta se on vain ajan kysymys oman näkemykseni mukaan, milloin vuotaa julkisuuteen jokin vastaanvalaisen yhtä kriittisen tietopainoarvon sisältävän datan tietokannan vuoto julkisuuteen,
Kanta-tietopalvelu on yksi niistä, koska sielläkin on ihmisten henkilökohtaisia terveystietoja ja reseptit mm, vaikka ei olisi mitään lupia antanut, ja terveystiedot liittyy ihmisten arkaluontoisiin korkean tietosuoja-profiilin tietoihin mm.
Miten tosiaan Antti Laaksonen tähän liittyy? Mun mielestä tää Ohjelmointiputka o todella asiallinen sivusto ollut jo pitkään netissä, ja ihan mun mielestä lunastanut paikkansa verkon uumenissa, mitä täällä noita spammisivustoja on liikaakin jopa ohjelmoinnin saralla. Täällä on todella paljon myös aiheellista materiaalia! Creditit Ohjelmointiputkan koodaajille ja ylläpitäjille, että pidätte jatkossakin ehkä tätä vapaana mainosvapaana ohjelmointiresurssina Internetissä!
Jere Sumell kirjoitti:
Creditit Ohjelmointiputkan koodaajille ja ylläpitäjille, että pidätte jatkossakin ehkä tätä vapaana mainosvapaana ohjelmointiresurssina Internetissä!
Kiitos! Ensi vuonna Ohjelmointiputka täyttää 20 vuotta, mutta sivuston tarina ei varmasti pääty vielä pitkään aikaan.
Tämä sivusto on ainakin minulle opettanut sen, millaiset sekoboltsitkin voivat menestyä erityisesti web-ohjelmoinnin saralla, kunhan vaan myy riittävän halvalla ja osaa markkinoida itsensä asiakkaille.
Antti Laaksonen kirjoitti:
...miten asia liittyy minuun?
Ei mitenkään, paitsi ehkä yhtenä kansalaisena. Minulle yhdistelmällä Antti Laaksonen/Ohjelmointiputka on painoarvoa. No ehkä huolestuin turhan paljon siitä miten helposti data irtoaa. Omat tietoni sain ilman mitään tunnus/salasana tai pankkitunnistautumis/puhelinvarmistus menetelmiä.
Vastaamot & co. voivat, mikäli kupla puhkeaa, aina mennä konkurssiin mitä taas KELA ei niinkään.
neosofta kirjoitti:
KELA vuotaa ja täysillä, halutustiko? Pääsee heittämällä yksittäisen ihmisen terveystietoihin käsiksi, jos niin haluaa.
Kuulostaa aika merkittävältä asialta. Olisiko tästä antaa jotain konkreettista lisätietoa, vai valkeneeko asia vain vappusiman äärellä?
Sivuhuomiona, kylläpä Ohjelmointiputkan aktiivien joukossa on monta nuorena eläkkeelle jäänyttä. Miten saataisiin käyttäjien työllisyysaste hallituksen tavoitteiden mukaiseksi?
Metabolix kirjoitti:
Sivuhuomiona, kylläpä Ohjelmointiputkan aktiivien joukossa on monta nuorena eläkkeelle jäänyttä. Miten saataisiin käyttäjien työllisyysaste hallituksen tavoitteiden mukaiseksi?
Tämä ei varmaan ollut tarkoitettu täysin vakavissaan ja toisaalta syyt ovat varmaan aika itsestäänselviä. Mainittakoon, että itsekin pidän putkan ideaa jalona ja tykkään lukea keskusteluja täällä silloin tällöin.
Ohjelmistoala on kuitenkin hyvin englanninkielinen ja alalla toimiminen lähestulkoon vaatii englannin osaamista. Kyseisellä kielellä löytyykin pilvin pimein ohjelmointikeskustelupalstoja, joiden luulisi täyttävän monien nettikeskustelutarpeet. Näin putkassa keskustelevat lähinnä
Itse varmaankin kuulun viimeiseen ryhmään. :)
Konkreettisena ehdotuksena, ehkä voisit Metabolix pistää kyselyä hallitukselle, että jos voisivat ohjata niitä enemmän työllistyneitä ihmisiä tänne ohjelmointiputkaan? Opetusministeriö voisi koulujen aamunavauksissa mainostaa tms.
Toisaalta on arvokasta myös harrastaa ohjelmointia, vaikka se ei olisi työllistävää. Ohjelmointiputkan käyttäjillä on meneillään monia kiintoisia projekteja, jotka eivät koskaan toteutuisi työelämässä.
Koska Ohjelmointiputkalla ei ole nykyään juurikaan "kilpailijoita", sivuston merkitys on oikeastaan aiempaa suurempi. Vaikka tietoa on saatavilla englanniksi, suomenkielinen yhteisö on tärkeä.
Metabolix kirjoitti:
Olisiko tästä antaa jotain konkreettista lisätietoa...?
Olisi toki, mutta ymmärrettävästi ei missään tapauksessa ainakaan julkisesti sivustolla. Mietin asiaa tovin ja päätin olla tutkimatta enempiä. Vähän jäi hassu jälkifiilinki.., seuraako niiden systeemi ollenkaan mihin json stringi milloinkin lähti? Jos vaikka tulsi viranomaisia ovea kolkuttamaan niin voisi ainakin todistaa, että tsekkasin vain omia tietoja.
Metabolix kirjoitti:
Sivuhuomiona,...
Tervään havaintoon@: Vaihtaisin nykyisen helposti vaikka työttömyyteen mikäli siitä olo paranisi, alkaa olla sen verran vitt*maista hengittää/liikkua ettei simakaan enää juuri auta.
-VIT*T HAPPIVIIKSISTÄ-
vesikuusi kirjoitti:
Metabolix kirjoitti:
Sivuhuomiona, kylläpä Ohjelmointiputkan aktiivien joukossa on monta nuorena eläkkeelle jäänyttä. Miten saataisiin käyttäjien työllisyysaste hallituksen tavoitteiden mukaiseksi?
Tämä ei varmaan ollut tarkoitettu täysin vakavissaan ja toisaalta syyt ovat varmaan aika itsestäänselviä.
Olet oikeassa kummassakin. Vitsi oli harkitsematon. Havainto kuitenkin oli ajankohtaisesti mielessä, kun mietin eräitä käyttäjiä, jotka ovat vuosien mittaan kertoneet asioistaan julkisesti.
neosofta kirjoitti:
Metabolix kirjoitti:
Olisiko tästä [Kelan tietoturva-aukosta] antaa jotain konkreettista lisätietoa...?
Olisi toki, mutta ymmärrettävästi ei missään tapauksessa ainakaan julkisesti sivustolla.
Jos viitsit, laita jokin vinkki yksityisesti (vaikka Putkan palautteeseen, niin ei liiku selkokielisenä verkossa). Ammatin puolesta kiinnostaa terveystietojen tietoturva ja todelliseen vikaan voi olla mahdollisuuksia saada korjaus.
Metabolix kirjoitti:
todelliseen vikaan voi olla mahdollisuuksia saada korjaus.
Vähän masentavaa, jos "voi olla mahdollisuuksia saada korjaus" pikemminkin kuin "varmasti korjataan pian kunhan tieto viasta vaan saadaan järjestelmän kehittäjille".
Grez kirjoitti:
Vähän masentavaa, jos "voi olla mahdollisuuksia saada korjaus" pikemminkin kuin "varmasti korjataan pian kunhan tieto viasta vaan saadaan järjestelmän kehittäjille".
Lähdin siis oletuksesta, että jostain syystä neosoftan ilmoitus ei ole riittänyt tai sitä ei ole otettu vakavasti tai se ei ole löytänyt oikealle taholle (esimerkiksi siksi, että joku esikäsittelijä ei ole ymmärtänyt asian merkitystä). Tietysti ehkä ilmoitus on vielä jäänyt tekemättä tai on kesken, sitähän tarina ei toistaiseksi kertonut.
Minä ainakin otin aloittajan viestit ihan trollauksena. Ja jos ei ole trollausta niin aloittaja on todennäköisesti unohtanut, että selaimessa olikin istuntoavain tallessa, jolloin hänen ajamansa kysely on ollut täysin validi eikä mikään tietomurto. Hänhän sai käsiinsä vain omia tietojaan omien sanojensa mukaan.
Metabolix kirjoitti:
Lähdin siis oletuksesta, että jostain syystä neosoftan ilmoitus ei ole riittänyt
Niin siis itse oletin että kommentoit hypoteettista tilannetta, jossa neosofta lähettäisi tiedon viasta teille ohjeesi mukaisesti ja toteaisit sen "todelliseksi viaksi". Jos tämänkin jälkeen "voi olla mahdollisuuksia saada korjaus", niin se kuulostaa vähän masentavalta.
neosofta kirjoitti:
Yksi mielestäni tosi iso asia vaivaa: KELA vuotaa ja täysillä, halutustiko? Pääsee heittämällä yksittäisen ihmisen terveystietoihin käsiksi, jos niin haluaa.
Varmaan kannattaisi ilmoittaa asiasta KELAlle, eikä Putkalaisille.
No entäs se mätä omena siellä lääkärien joukossa, joka haluaa kopioida potilasarkiston ja laittaa jakoon. Kuinka laajat käyttöoikeudet sillä yksittäisellä lääkärillä on Kanta-palveluun?
Brebl kirjoitti:
Kuinka laajat käyttöoikeudet sillä yksittäisellä lääkärillä on Kanta-palveluun?
Kelalle jää kaikesta lokimerkintä, joten tietovuotoon syyllinen löytyy varmasti hetkessä, mahdollinen rikoshyöty menee valtiolle ja luultavasti myös työura päättyy. Ei vaikuta hyvältä suunnitelmalta. Muutenkaan tietoja ei saa massa-ajona selaimesta vaan yksi käynti kerrallaan erillisen ohjelmiston kautta, joten aika hidasta olisi tehtailla jokin laaja tietovuoto.
Grez kirjoitti:
Jos tämänkin jälkeen "voi olla mahdollisuuksia saada korjaus", niin se kuulostaa vähän masentavalta.
Joo, mutta tietysti juuri minä en voi luvata Kelan palveluun varmasti korjausta, kun en ole edes Kelalla töissä. Voisin kuitenkin selvittää asiaa pidemmälle, jos neosofta ei itse jaksa.
Tuntuisi myös loogiselta, jos yksittäisellä toimijalla olisi jokin päiväkohtainen raja, jonka ylityksestä seuraisi automaattinen hälytys valvontaan ja ehkä jonkin rajan jälkeen oikeudet voisi mennä automaattisesti kiinni. Vaikea esim. kuvitella että lääkäri hoitaisi vaikka yli 1000 potilasta samana päivänä.
Katsoin vielä Omakanta-palvelua, ja sieltä en löytänyt JSON-dataa, vaan omat tiedot tulivat HTML-muodossa ja istuntokohtaisella osoitteella. Muualla ei kai laajoja terveystietoja ole katsottavaksi. Mistähän Kelan palvelusta neosofta siis puhuu, vai oliko mielikuvitusta koko juttu?
Puhelimella voi tietysti saada huijattua yhtä ja toista, mutta ei siihenkään liity JSON.
Sain aloittajalta aika epämääräisen ohjeen, että JSON löytyisi Kanta-palvelusta tunnistautumiseen vievän napin takaa. Sehän vie suoraan Suomi.fi-tunnistautumiseen, ja itse en nähnyt siellä kuin istunnon tunnuksia ja OAuth-mekanismin, jossa tärkein data ei kulje käyttäjän kautta. Tarkemman tiedon puutteessa täytyy olettaa, että neosofta on erehtynyt ja aukkoa ei ole.
When a token has been received, in this case accidentally, the "attacker" gains access to the secure data for a while. That risk can be minimized by using a token with signature, but it's not always necessarily in use or it does not work as it should be working. (maybe a bit of the same as the reason for the Italian cable car accident, who knows)
-Whatever, the migraine is not mine anymore-
neosofta kirjoitti:
When a token has been received, in this case accidentally, the "attacker" gains access to the secure data for a while.
neosofta kirjoitti:
KELA vuotaa ja täysillä, halutustiko? Pääsee heittämällä yksittäisen ihmisen terveystietoihin käsiksi, jos niin haluaa.
Eli vahingossa saadaan tokeni, mutta aloituspostauksessa se on vuotamista täysillä ja heittämällä tietoon pääsee käsiksi.
Fucking moron!
Should I 'say': When a token is stolen or maybe when I did steal that token? But I'm not a thief so I won't do that! Anyhow, could be possible there's been some reaction within KELA! Anyway, it's hard to believe it would be a pure developer pitfall.
I know it's you neosofta. Even if you write your messages in english I still know it's you! You know why? Because I'm a l337 haxx0r!
Jos siellä on oikea aukko, voit kertoa selvemmin, missä vaiheessa se ilmenee ja miten sitä käytetään. Nyt näyttää siltä, että yrität peittää oman virheesi selittämällä englanniksi puuta heinää.
Itse en nähnyt mitään kohtaa, jossa henkilötunnusta pääsisi itse vaihtamaan, kuten annat ymmärtää. (Toisen puolesta asiointi tuottaa listan niistä, mutta siellä oli myös käytössä erillinen tarkiste, ettei muokkaus onnistunut.) Ei sillä ole väliä, vaikka pystyisi lukemaan oman henkilötunnuksen. Sehän ei ole kirjautujalle mikään salaisuus. Vain sillä on merkitystä, saako Kelaan jotenkin menemään väärät tiedot.
Token tarkoittaa kirjautumisessa usein satunnaista tunnistetta, eli siinä ei ole muokattava tietoa. Vaikea käsittää, mistä nyt saataisiin jokin ylimääräinen token vahingossa ja kenen se pitäisi allekirjoittaa ongelman estämiseksi.
Aihe on jo aika vanha, joten et voi enää vastata siihen.