История Vastaamo стала одним из самых громких дел о приватности данных в Финляндии. В октябре 2020 года сеть частных психотерапевтических клиник Vastaamo сообщила о взломе базы. Злоумышленник под ником Ransom_man получил доступ к личным данным примерно 33 тысяч пациентов. Речь шла не о списке контактов или истории оплат. В утечке оказались записи психотерапевтических сессий, то есть информация максимальной чувствительности.
Сначала хакер действовал по привычному сценарию и потребовал у компании 40 биткоинов, около 450 тысяч евро на тот момент. После отказа он переключился на пациентов. Тысячам людей начали приходить письма, где были указаны фамилия, адрес, номер социального страхования и угроза публикации личных записей терапии. Суммы выкупа варьировались от 200 до 500 евро в биткоинах. Для части жертв это сработало, потому что речь шла о травмах, насилии, психических расстройствах и вещах, о которых люди не говорят даже близким.
По данным финских правоохранителей, попытки вымогательства затронули более 24 тысяч пациентов. Масштаб был таким, что в суде не нашлось зала, способного вместить всех потерпевших, поэтому заседания транслировали в кинотеатрах. Клиника Vastaamo прекратила работу и была ликвидирована в январе 2021 года. Отдельная мера, которая редко встречается в подобных кейсах, касалась идентичности: финским пациентам разрешили сменить номер социального страхования, по аналогии с решением после утечки у австралийской страховой компании Medibank.
Прямые жертвы это пациенты Vastaamo, у которых утекли как персональные данные, так и записи психотерапии. Косвенно история касается всего рынка медицинских сервисов и сервисов психического здоровья, где данные по умолчанию считаются особо чувствительными. Здесь цена ошибки измеряется не только деньгами, но и социальными последствиями, репутацией и безопасностью людей.
Почему это важно
Во-первых, это пример того, как утечка превращается в массовое вымогательство. В отличие от привычных сливов, где данные продают на форумах, здесь хакер работал адресно, давил на страх и личные обстоятельства, и делал это в промышленных масштабах.
Во-вторых, расследование показало, что даже опытные злоумышленники часто падают на банальной неосторожности. По версии следствия, ключевой ошибкой стало то, что при загрузке украденных данных на сервер Ransom_man случайно выгрузил туда свой домашний каталог, фактически содержимое собственного компьютера. Это помогло полиции получить достаточно информации для идентификации преступника и перейти к анализу IP-адресов, через которые хакер подключался к серверу.
Информация
Один из следователей, работавший с похожими делами, сразу узнал Юлиуса Кивимяки по его профилю активности в кибератаках прошлых лет. Его имя было известно: в 2014 году, когда ему было 17 лет, он отправил фейковое сообщение о бомбе на рейс American Airlines, вызвав отмену полёта, и был связан с группировкой Lizard Squad. После условного приговора в 2015 году он обновил биографию в Twitter на неприкасаемый бог хакерства.
Параллельно полиция отслеживала цепочку биткоин-транзакций. Следователи сделали небольшой платеж на кошелек хакера, чтобы увидеть, куда дальше уходят средства. Цепочка вывела на банковский счет, связанный с именем Юлиус Алекзантери Кивимяки. После этого правоохранители получили доступ к серверу и проверили, с каких IP-адресов Кивимяки подключался. Один из адресов привел к квартире в пригороде Парижа.
В октябре 2022 года Финляндия оформила международный ордер через Интерпол. В начале февраля 2023 года французская полиция нашла его в Courbevoie, пригороде Парижа. По официальным данным, полиция приехала по вызову о домашнем насилии, а на месте обнаружила спящего в квартире мужчину. Он предъявил румынский паспорт, но проверка по базам помогла быстро установить личность разыскиваемого.
В 2023–2024 годах Кивимяки предстал перед судом в Финляндии. Его обвинили во взломе, попытке вымогательства у более чем 21 тысячи жертв, распространении информации, нарушающей приватность, шантаже и ряде других преступлений. В апреле 2024 года суд признал его виновным по всем пунктам и назначил 6 лет и 3 месяца тюрьмы. Для контекста, в 2015 году он уже получал приговор за более чем 50 тысяч эпизодов взлома, но тогда ему было 17 лет, и наказание было условным. На этот раз суд учел масштаб вреда и системный характер вымогательства.
Информация
В сентябре 2025 года апелляционный суд освободил Кивимяки из тюрьмы на время рассмотрения апелляции. Он продолжает отрицать вину и говорит о некачественном расследовании, но сам приговор остается в силе.
Отдельный вывод касается ответственности организаций. По делу Vastaamo стало известно, что защита серверов клиники была недостаточной: данные не были зашифрованы, аутентификация была слабой, и в системе отсутствовал пароль для root-доступа. Финский надзорный орган по защите данных оштрафовал компанию на 608 тысяч евро за нарушения GDPR. Этот штраф не вернул людям приватность, но стал редким случаем, когда регулятор зафиксировал проблемы в безопасности как отдельный фактор ущерба.
История Vastaamo важна именно тем, что показывает реальную цену утечки в сфере психотерапии. Здесь утрачивается не только контроль над персональными данными. Утрачивается чувство безопасности, ради которого люди вообще приходят за помощью.
