2020年10月底,芬兰万塔市一名学校校长Tiina Parikka在家中收到一封勒索邮件。邮件以芬兰语写成,开头直接列出她的姓名与社会保障号码,并称其曾使用心理治疗机构Vastaamo的服务,要求其在24小时内支付200欧元等值比特币,否则金额将上调至500欧元,并威胁公开其姓名、住址、电话号码、社会保障号码以及与治疗师对话的详细记录。
Parikka回忆称,当时出现强烈惊恐反应。她表示,自己在Vastaamo接受了多年心理治疗,治疗笔记涉及个人最私密的情绪与经历。她在收到邮件后曾拨打紧急电话求助,但被告知需为“真正紧急情况”保持线路畅通。
Parikka并非个案。芬兰警方与媒体披露,Vastaamo数据库遭入侵后,全国约3.3万名曾使用该机构服务的人面临相同风险。芬兰人口约560万,此案迅速引发广泛社会震动。
暗网账号公开样本并施压,公司拒付赎金
在大规模勒索邮件发送前数日,一个名为“ransom_man”的账号在暗网以及芬兰语网络社区发布帖文,称已入侵vastaamo.fi并窃取数万份患者记录,要求公司支付40个比特币赎金,并表示若公司不回应,将“每天公开100条记录”。帖文附带暗网链接,首批公开内容包含政治人物、警察及公众人物的治疗笔记,涉及通奸、自杀未遂、恋童癖与性暴力等敏感信息,部分记录属于儿童。
随后,“ransom_man”继续上传更多内容。律师方面表示,已知至少有两起自杀事件与受害者得知治疗笔记被入侵有关。
报道显示,2020年10月23日凌晨2点,“ransom_man”上传了包含Vastaamo数据库中所有患者完整记录的更大文件,治疗笔记被免费公开并在网络上持续流传。
CEO早在9月收到勒索,安全专家称数据库“几乎无防护”
根据披露,Vastaamo首席执行官Ville Tapio在客户得知事件前数周已收到勒索邮件。2020年9月28日,他收到要求支付相当于45万欧元比特币的邮件,邮件附带患者记录样本。Tapio随后聘请网络安全公司介入。
参与调查的网络安全专家Antti Kurittu表示,Vastaamo服务器安全措施“极其松懈”,患者记录数据库可通过互联网访问,缺乏防火墙,且以空密码保护,任何人“只需按回车即可打开”。Kurittu认为,黑客可能通过扫描互联网寻找安全薄弱的数据库并从中获利。
Kurittu同时主张警方应尽早介入并开展平行调查。Vastaamo方面明确不支付赎金,理由是无法确保犯罪者会销毁数据。
“误上传主文件夹”成为关键线索,警方锁定嫌疑人
Kurittu称,黑客在尝试自动化发布时出现失误:除治疗笔记外,还短暂上传了包含更多内容的主文件夹,随后删除并留下“whoopsie :D”的字样。Kurittu表示,该文件夹内数据组织混乱、命名幼稚,与“商业化勒索”常见的系统性不同,让他联想到自己在2013年办案时接触过的一名少年黑客。
警方随后通过多条线索推进调查。报道显示,警方曾向“ransom_man”支付0.1个比特币的小额款项,并追踪资金流向,发现其进入Aleksanteri Kivimäki的银行账户。另有服务器购买记录显示,其中一台服务器使用的信用卡与Kivimäki用于支付苹果服务及OnlyFans订阅的信用卡相同。
检方称,调查人员还发现黑客在数据库中搜索“强奸”“虐待”“猥亵儿童”等关键词,同时搜索了Kivimäki的家庭住址与亲属姓名。检方表示,这些搜索使用了与其伦敦威斯敏斯特住所相关的IP地址,显示犯罪发生时他在伦敦。
曾因多起网络犯罪获缓刑,社交媒体自称“不可触碰的黑客之神”
Kivimäki(曾使用中间名Julius或网名zeekill)早年在网络安全圈内以激进与高调著称。2015年7月,他因入侵麻省理工学院与哈佛大学服务器、洗钱和诈骗等被判有罪,涉及5万多起数据泄露,获两年缓刑,并被要求偿还6000多欧元犯罪所得。判决后不久,他在社交媒体简介中自称“不可触碰的黑客之神”。
2023年在法国被捕,2024年被判6年3个月监禁
检方表示,案件数据量达数TB,警方为受害者建立在线门户登记陈述,累计形成2.1万多份刑事报告。2022年10月,检方签发逮捕令。
2023年2月3日,法国警方接报巴黎郊区一处公寓发生家庭暴力事件,破门后发现一名男子出示罗马尼亚护照,名为Asan Amet。芬兰检方称,经核查该身份为Kivimäki的已知别名,随后其被移交芬兰。
2024年4月30日,芬兰法院判定Kivimäki所有指控成立,包括9600项加重侵犯隐私罪与2.13万多项加重勒索未遂罪,判处6年3个月监禁。检方表示,该刑期在芬兰标准下属较重,但未达最高7年。Kivimäki目前正在上诉。
机构破产、前CEO曾被定罪后上诉改判,受害者提起民事索赔
Vastaamo于2021年2月宣布破产。勒索邮件大规模发送数日后,公司董事会宣布解雇CEO Ville Tapio。2023年4月,Tapio因处理患者数据失职被判有罪;2025年12月,上诉成功推翻定罪。
在民事层面,报道显示包括Parikka在内的6000多名原告参与对Kivimäki的赔偿诉讼。Kivimäki方面称无力支付赔偿,相关资产至今未被找到。芬兰政府已同意向受害者支付赔偿,金额从几百欧元到几千欧元不等,取决于治疗笔记页数及信息敏感程度。
警方称另有协助者被控
芬兰警方今年5月表示,Vastaamo案中出现第二名嫌疑人:一名居住在爱沙尼亚的美国公民,涉嫌协助Kivimäki准备文件,已被控协助勒索未遂。
截至目前,Vastaamo患者文件仍在网络上流传,甚至出现用于检索数据库内容的搜索工具。受害者与律师团体持续关注案件后续进展及赔偿落实情况。
