Finlandês condenado por ataque informático a clínica de psicoterapia

Kivimäki, que usava o pseudónimo “ransom_ man” online, tentou extorquir a clínica Vastaamo, entretanto encerrada, exigindo um pagamento de 450 mil euros em bitcoins para não publicar as notas das sessões de terapia dos pacientes. Quando a clínica se recusou a pagar, Kivimäki passou a extorqui-los individualmente, ameaçando publicar os respetivos dados sensíveis a menos que pagassem um resgate de 500 euros.

O Tribunal Distrital de Länsi-Uusimaa considerou Kivimäki culpado de 9.598 crimes de divulgação agravada de informações pessoais, 21.316 tentativas de extorsão e 20 casos de extorsão agravada. Os procuradores pediram uma pena máxima de sete anos, mas o tribunal optou por uma sentença mais curta devido aos acordos condicionais que Kivimäki fez com as vítimas da Vastaamo.

Durante o julgamento, foi apresentada evidência, como um endereço IP, que ligava a identidade de "ransom_man" a Kivimäki. As autoridades também rastrearam um pagamento nominal em bitcoins, feito pela polícia à conta do extorsionista, que, apesar de passar por várias criptomoedas para ocultar o rasto, acabou por ser ligado à conta bancária de Kivimäki.

Kivimäki foi extraditado de França em fevereiro de 2023, após a polícia parisiense o ter detido devido a um relatório de violência doméstica. Usando um passaporte falso, tentou enganar a polícia alegando ser romeno, mas o nome utilizado era um pseudónimo conhecido.

Os procuradores afirmaram que Kivimäki usou credenciais comprometidas para aceder ao servidor MySQL da Vastaamo e descarregar os registos dos pacientes. A identidade do criminoso foi descoberta após Kivimäki não ter mascarado o seu endereço IP.

Apesar da defesa alegar que o endereço IP não era exclusivamente de Kivimäki e poderia ter sido usado por vários utilizadores, as provas foram consideradas suficientes para a condenação. Kivimäki, que descreveu as suas competências de programação como “insignificantes”, foi considerado culpado com base na evidência apresentada.

Uma sequência de defesas débeis

No passado, Kivimäki já tinha sido condenado por 50.700 “casos de invasões agravadas de computadores” por uma série de ataques que cometeu contra universidades norte-americanas e o provedor de bases de dados MongoHQ quando tinha 17 anos. Recebeu, então, uma sentença suspensa de dois anos.

Kivimäki, sob os pseudónimos “zeekill” e “Ryan”, também foi membro do grupo de ataque de denial of service (DDoS) conhecido como Lizard Squad, que realizou ataques notórios contra os servidores da Xbox Live e da PlayStation Network no Natal de 2014.

O ataque à Vastaamo foi devastador para milhares de pacientes cujos dados sensíveis foram expostos online. A clínica foi criticada pela fraca segurança, utilizando credenciais simples como “root/root” para proteger informações sensíveis. Os investigadores descobriram que a Vastaamo tinha sido hackeada inicialmente em 2018 e novamente em 2019.

O antigo CEO da Vastaamo, Ville Tapio, foi despedido e processado após o incidente, recebendo uma sentença suspensa de três meses, devido à falta de antecedentes criminais. A divulgação das notas das sessões de terapia causou sérios danos psicológicos e emocionais às vítimas, amplificando a gravidade das ações de Kivimäki.

A condenação de Kivimäki representa um passo significativo na luta contra o cibercrime, destacando a importância da segurança digital e a necessidade de proteger informações sensíveis, em particular perante vítimas particularmente vulneráveis. Embora a sentença possa parecer curta para alguns, é quase o máximo permitido pela lei finlandesa. A vulnerabilidade da Vastaamo é, também, um aviso em tons fortes sobre a necessidade de auditorias de segurança regulares serem fundamentais para garantir que dados confidenciais estão devidamente protegidos.