
Asiakaspalvelusivusto on tarkistettu ja sen tietoturvaa vahvennettu – kanava turvallisesti käytössä jälleen 24.3. alkaen
Sarastian 3.3.2021 saamasta tietoturvapoikkeamailmoituksesta käynnistynyt tilanne on nyt selvitetty. Ulkopuolisen palveluntuottajan ylläpitämälle asiakaspalvelu.sarastia.fi -sivustolle on tehty perusteellinen tietoturvatarkastus, auditointi, ja siinä havaitut puutteet on korjattu. Sivusto on todettu turvalliseksi asiakaskäyttöön ja avattu keskiviikkona 24.3. klo 11.00.
Olemme aiemmin kertoneet, että Sarastia sai 3.3. tiedon ulkopuolisen palveluntuottajan ylläpitämällä asiakaspalvelu.sarastia.fi -sivustolla tietoturvapoikkeamasta. Palvelussa 28.2.2021 klo 15.05 ja 3.3.2021 klo 8.03 välisenä aikana asioineet henkilöt ja heidän ilmoittamansa identiteetti-, osoite- ja tilinumerotiedot ovat voineet joutua tietoturvaloukkauksen kohteeksi. Loukkaus on voinut koskettaa myös muita palvelussa asioineita henkilöitä asiakaspalvelulomakkeilla siirrettyjen liitetiedostojen osalta. Asianosaisiin on oltu yhteydessä.
Ulkopuolisen palveluntuottajan ylläpitämän sivuston perusteellisen auditoinnin yhteydessä on selvinnyt, että tunkeutuminen tehtiin ristiriitaisten operointikäytäntöjen takia avautuneen ja tavanomaisen haavoittuvuustarkistuksen ulottumattomissa olleen tietoturva-aukon avulla. Vastaavan tietoturva-aukon syntyminen on estetty ja palvelu on lisäksi kokonaisuudessaan asennettu uudelleen, sen tietoturvaa kovennettu ja perusasetuksiin tehty hyvien käytänteiden mukaiset parannukset.
Asiakaspalvelukanava asiakaspalvelu.sarastia.fi on näiden toimenpiteiden jälkeen todettu turvalliseksi ja avattu käyttöön keskiviikkona 24.3. klo 11.00.
Valitettavaa on, että tutkinnan tuottaman tiedon pohjalta ei pystytä vahvistamaan sivuston tietojen kopiointia tai väärinkäyttöä, mutta tätä mahdollisuutta ei myöskään voida sulkea pois. Kuten hyvin usein tietomurtotapauksissa, jää myös tähän tapaukseen liittyen avoimeksi se, onko hyökkäyksen kohteena olleita tietoja kopioitu tai käytetty väärin.
Olemme pyrkineet tekemään kaikkemme, jotta harmi ja haitta mahdollisen tietoturvaloukkauksen kohteena olleille ihmisille ja organisaatioille jäisi mahdollisimman pieneksi. Poliisi ja Kyberturvallisuuskeskus jatkavat omia tutkintojaan asiaan liittyen. Mikäli niissä ilmenee jotain uutta, tiedotamme niistä erikseen.
Lisätietoja
Mika Kantola
toimitusjohtaja
Sarastia Oy
Puh. 040 831 6409