F-Securen SAFE-palvelun käyttäjät hätkähtivät tänään, kun he saivat punaisella merkityn vakavan varoituksen henkilötietojensa vuotamisesta. Erikoisinta oli, että vuotaneen palvelun nimenä luki vain "Salassa pidettävä palvelu". Vuotaneiden henkilötietojen joukossa oli sosiaaliturvatunnus, mikä teki vuodosta huolestuttavan.
Mediassa ei kuitenkaan ollut mitään uutista. Kukaan ei myöskään ole saanut GDPR-lakien mukaista ilmoitusta, joka tietovuodon paljastuttua tulee lähettää henkilöille, joiden oikeudet ovat vaarassa. Mistä ihmeestä on kyse?
Olen silloin tällöin tarkistanut omat tietoni F-Securen Identity Theft Checker -palvelusta, samoin kuin suomalaisesta Badrap.io:sta ja Have I been pwned -palvelusta. Kertatarkistus on niissä kaikissa ilmainen. F-Secure näytti myös omien tietojeni olevan vuodettujen joukossa:
 |
| F-Secure raportti |
Mikä erikoisinta, F-Secure kertoo peräti kahdesta "julkistamaton palvelu" -vuodosta, joista edellinen oli jo maaliskuussa. Uudempi on päivätty huhtikuulle, ja siinä on mukana "sosiaaliturvatunnus".
Sellaista ei ole käytetty enää pitkään aikaan. Nykyään kyseessä on henkilötunnus, koska se on erkaantunut kauas alkuperäisestä työeläke- ja sosiaaliturvakäytöstä.
Voi kuvitella, että jos vuoto on vakava, poliisi estää siitä tiedottamisen vedoten tutkinnallisiin syihin. Tämä peruste ei kuitenkaan voi ohittaa GDPR:ää. Edes kansallinen turvallisuus ei siihen riitä, kuten saatiin juuri havaita. Tietosuojavaltuutettu antoi ulkoministeriölle huomautuksen, koska se oli lykännyt Pegasus-urkintaohjelman kohteeksi joutuneiden diplomaattien informointia. GDPR ei tunne kansallista etua salailuperusteena.
Henkilötunnusta käytetään vain kotimaisissa palveluissa, joten kyse ei voi olla mistään amerikkalaisesta nettijätistä. Lähinnä vain operaattori, pankki ja viranomaiset tallentavat henkilötunnuksia, eikä omani ole aiemmin ollut mukana tietovuodoissa. Mistä ihmeestä on kyse?
 |
| Kyseessä voikin olla Y-tunnus?? |
F-Securen twiitin mukaan kyseessä voikin olla Y-tunnus. Miten ihmeessä yhtiö sotkee HETUn ja Y-tunnuksen? Niillä on todella iso ero, sillä Y-tunnus on julkista tietoa kun taas HETUn käyttöä pyritään välttämään.
Y-tunnuksen vuotaminen henkilötietojen mukana viittaa siihen, että kyse olisi viranomaisen tiedoista. Hyvin erikoista. Luulisi tietosuojavaltuutetun ja poliisin selvittävän asiaa.
Twiitissään F-Secure antaa ymmärtää, että poliisi ei ehkä halua julkistaa tietoja. Herää kysymys, mistä F-Secure sitten on saanut vuodetut tiedot ja miksi se itse rikkoo poliisin ohjetta tiedottamalla asiasta suoraan vuodon uhreille?