2020年10月底,芬兰万塔市一名校长Tiina Parikka在家中收到一封勒索邮件。邮件以芬兰语写成,开头直接列出她的姓名与社会保障号码,并称她曾使用心理治疗机构Vastaamo的服务。发件人要求其在24小时内支付200欧元等值比特币,否则金额将在48小时内升至500欧元;若仍未付款,将公开其姓名、地址、电话、社会保障号码以及与治疗师对话的详细记录。
Parikka回忆称,看到邮件后出现强烈惊恐反应。她表示,自己在Vastaamo接受了多年每周一次的治疗,记录中包含大量极为私密的内容。她一度拨打紧急电话求助,但被告知需为“真正的紧急情况”保持线路畅通。
这起事件并非个案。芬兰全国约有3.3万人使用过Vastaamo服务,随后陆续发现其治疗笔记与个人信息被窃取并被用于勒索。在人口约560万的芬兰,此案迅速引发广泛震动。
在勒索邮件大规模发出前,暗网及多个芬兰语网络社区已出现泄露信息。一个名为“ransom_man”的账号在暗网、芬兰语Reddit子版块r/Suomi以及芬兰版4chan网站Ylilauta发布帖子称,其入侵了vastaamo.fi并窃取数万份患者记录,曾向公司索要40个比特币赎金但未获回应,因此将“每天公开100条记录”。帖文附带暗网链接,并在末尾写下“Enjoy吧”。
最初公开的记录涉及政治人物、警察及公众人物,内容包含婚外情、自杀未遂、恋童癖与性暴力等敏感细节,部分记录属于儿童。随后泄露持续扩大。代表受害者的律师称,已知至少有两起自杀与受害者得知治疗笔记被入侵有关。
更关键的是,2020年10月23日凌晨2点,ransom_man上传了包含Vastaamo数据库中所有患者完整记录的更大文件,治疗笔记被免费公开并在网络上流传。
根据案件信息,Vastaamo首席执行官Ville Tapio在客户得知前数周已获悉勒索。2020年9月28日,他收到邮件要求支付相当于45万欧元的比特币,并附带患者记录样本。Tapio随后聘请网络安全公司调查。
参与调查的网络安全专家Antti Kurittu表示,Vastaamo服务器的安全措施“极其松懈”,患者记录数据库可通过互联网访问、缺乏防火墙,且以空密码保护,任何人“按回车即可打开”。Kurittu判断,攻击者可能通过扫描互联网寻找安全薄弱的数据库并实施窃取。
在泄露扩大后,Kurittu监控发布记录的服务器,并认为幕后人员可能熟悉芬兰社会环境。随后,ranson_man在尝试自动化发布时出现失误:除治疗笔记外,还短暂上传了整个主文件夹,并发帖“whoopsie :D”。Kurittu称,文件夹内数据组织混乱、命名幼稚,其中包含全部患者数据的文件名为“therapissed”,这让他联想到自己在2013年办案时见过的风格。
Kurittu将线索指向Aleksanteri Kivimäki。Kivimäki曾使用中间名Julius或网名zeekill,在网络安全圈内以激进与高调著称。公开信息显示,他早年参与黑客组织活动,并在2015年因入侵麻省理工学院和哈佛大学服务器、洗钱和诈骗等被芬兰法院判有罪,涉及5万多起数据泄露,获两年缓刑、电脑被没收并需偿还6000多欧元犯罪所得。判决后不久,他曾在社交媒体简介中自称“不可触碰的黑客之神”。
在Vastaamo案调查中,警方曾向ransom_man支付0.1个比特币以追踪资金流向,随后发现相关资金进入Kivimäki的银行账户。调查人员还称,部分服务器购买记录与其用于支付苹果服务和OnlyFans订阅的信用卡相同。检方表示,调查还发现攻击者在数据库中搜索“强奸”“虐待”“猥亵儿童”等关键词,同时搜索了Kivimäki的家庭住址与亲属姓名;相关搜索使用了与其伦敦威斯敏斯特公寓相关的IP地址。
由于数据规模达数TB、受害者众多,芬兰警方建立在线门户供登记陈述,累计形成2.1万多份刑事报告。直到2022年10月,检方才签发逮捕令。
2023年2月3日,法国警方接报巴黎郊区一处公寓发生家庭暴力事件,破门后发现一名男子出示罗马尼亚护照,姓名为Asan Amet。芬兰检方称,经核查数据库,该身份为Kivimäki已知别名。数周后,他被移交芬兰当局。
2023年11月,案件进入审判阶段。由于受害者人数庞大,庭审通过电影院等公共场所实时转播供原告观看。2024年4月30日,芬兰法院判定Kivimäki所有指控成立,包括9600项加重侵犯隐私罪与2.13万多项加重勒索未遂罪,判处6年3个月监禁,未达到最高7年刑期。检方称其目前正在上诉。
Vastaamo方面,公司于2021年2月宣布破产。患者收到勒索邮件数日后,董事会宣布解雇CEO Ville Tapio。2023年4月,Tapio因处理患者数据失职被判有罪,但在2025年12月上诉成功推翻定罪。
民事赔偿方面,包括Parikka在内的6000多名原告参与对Kivimäki的索赔诉讼。报道信息显示,尽管其曾在网上展示奢华生活方式,但他声称无力支付赔偿,且迄今未能找到其资产。芬兰政府已同意向受害者支付赔偿,金额从几百欧元到几千欧元不等,取决于Vastaamo数据库中治疗笔记页数及信息敏感程度。
案件影响仍在延续。自2020年10月泄露以来,患者文件持续在网络传播,甚至出现用于检索数据库的专门搜索工具。芬兰警方还在2025年5月宣布,案件中出现第二名嫌疑人:一名居住在爱沙尼亚的美国公民,涉嫌协助Kivimäki准备文件,已被控协助勒索未遂。
Kivimäki在狱中接受采访时否认作案,称自己是“替罪羊”,并表示知道真正实施者是谁但拒绝透露姓名。对于受害者感受及相关自杀事件,他在采访中称“没有特别感觉”。
(注:BBC Radio 4六集系列节目《Ransom Man》已在BBC Sounds上线。)
