Kansanedustajien henkilökohtaisia tietoja vuotanut dark webiin muun muassa deittisivuistoilta

Lähes puolesta Suomen kansanedustajista löytyy henkilökohtaisia tietoja dark webistä eli pimeästä verkosta, käy ilmi sveitsiläisen teknologiayritys Protonin tilaamasta tutkimuksesta.

Pimeään verkkoon on tutkimuksen mukaan päätynyt muun muassa kotiosoitteita ja salasanoja. Tiedot ovat peräisin tapauksista, joissa kansanedustajat ovat käyttäneet eduskunnan sähköpostiosoitetta kolmannen osapuolen palveluissa, jotka ovat joutuneet tietovuotojen kohteeksi. Näitä palveluja ovat muun muassa verkostoitumispalvelu Linkedin ja viestipalvelu X.

Protonin tiliturvallisuuspäällikön Eamonn Maguiren mukaan eduskunnan sähköpostiosoitteiden käyttö kolmannen osapuolen palveluissa on huonoa kyberhygieniaa ja eduskunta.fi-loppuinen sähköpostiosoite on kyberrikollisille erinomainen kohde.

– Sitä voidaan käyttää taloudellisiin tai poliittisiin tarkoituksiin tai pahimmassa tapauksessa jopa kiristykseen, Maguire sanoo tiedotteessa.

Useimmat vuotaneet kirjautumistiedot voidaan Protonin mukaan jäljittää Linkediniin. Palvelu joutui esimerkiksi vuonna 2021 laajan tietovuodon kohteeksi ja noin 700 miljoonan käyttäjän tiedot paljastuivat.

Tutkimuksen mukaan yhteensä 68 poliitikkoa on käyttänyt palvelussa eduskunnan sähköpostiosoitetta, ja useissa tapauksissa heistä on vuotanut kriittisiä tietoja.

Tietovuotoja on tapahtunut myös muilla alustoilla, joihin on sisältynyt eduskunnan sähköpostiosoitteita. Proton löysi poliitikkojen sähköpostiosoitteita muun muassa deittisivustoihin, MyHeritage-sukututkimuspalveluun sekä kryptovaluutta-alustoihin kohdistuneiden vuotojen aineistoista.

Maguiren mukaan ongelmana on, että liian monet käyttävät samoja salasanoja eri alustoilla. Siten yksi vääriin käsiin joutunut sähköpostiosoite voi avata oven useisiin palveluihin ja johtaa lisähyökkäyksiin.

Eduskunnan tietohallintopäällikkö Ari Apilo painottaa, ettei eduskunnan tietoturva ole vaarantunut miltään osin. Pelkillä sähköpostiosoitteilla ja salasanoilla ei pääse eduskunnan sisäisiin palveluihin, vaan käytössä on myös muita suojausmetodeja.

Kansanedustajia ja muita eduskunnassa työskenteleviä on Apilon mukaan ohjeistettu käyttämään eri palveluissa eri salasanoja. Henkilökohtaisiin asioihin on lisäksi ohjeistettu käyttämään muuta kuin työsähköpostia.

Eduskunnassa ei ole ryhdytty tutkimuksen myötä erityisiin toimiin. Tutkimuksessa ilmi tulleita tietoja ei Apilon mukaan pidetä erityisen vakavina, koska salasanat vaihdetaan eduskunnassa hyvin usein.

– Eduskunnan tietoturvasta huolehditaan jatkuvasti, hän vakuuttaa.

Proton kertoi informoineensa kaikkia tietovuodon kohteiksi joutuneita poliitikkoja ennen tutkimuksesta tiedottamista sekä kehottaneensa heitä vaihtamaan kirjautumistunnukset ja salasanat kaikilla asiaankuuluvilla alustoilla.

Tietoturva-asiantuntija Benjamin Särkkä kuvailee tutkimuksen tuloksia ”peruskauraksi”. Näin siksi, että hänen mukaansa ihmiset – myös kansanedustajat – käyttävät usein samaa käyttäjätunnusta ja samaa salasanaa monissa palveluissa.

Kun näiden palveluiden asiakastiedot joutuvat tietovuodon tai -murron vuoksi rikollisten käsiin, ne päätyvät usein myyntiin pimeään verkkoon.

Protonin mukaan käyttäjätunnusten ja salasanojen lisäksi on vuotanut myös kansanedustajien kotiosoitteita. Särkkä huomauttaa, että Suomessa monien kotiosoite on saatavissa esimerkiksi Fonecta Finderin kaltaisista palveluista. Kuitenkin kun on kyse kansanedustajien tiedoista, tiedon potentiaalisen väärinkäytön riski kasvaa.

– Tiedon hyödyntäminen pahantahtoisesti on mahdollisempaa, hän arvioi STT:lle.

Särkkä kehottaa käyttämään tervettä järkeä siinä, mihin työsähköpostiaan käyttää. Jos samaa käyttäjätunnusta käyttää useissa palveluissa, ainakin salasanan tulisi olla eri.

Hän myös muistuttaa, ettei mikään velvoita puhumaan ilmaispalveluille totta: iän ja kotiosoitteen voi valehdella niille hyvällä omallatunnolla.

– Mitä vähemmän palveluun luottaa, sitä vähemmän sille kannattaa antaa oikeita tietoja.