Ohjeita tietovuoto-uutisointiin liittyen

Mediassa on käyty viime päivinä keskustelua noin 500 000 kotimaisen käyttäjän ”vuodetusta” sähköpostiosoitteesta. Tässä muutama sana tilanteesta JAMKin tietohallinnon näkökulmasta, sekä toimintaohjeet siltä varalta, että epäilet oman tunnuksesi päätyneen vääriin käsiin –>

1.)
JAMKin tietojärjestelmistä tietoja ei ole vuotanut, mutta esillä olleissa listoissa oli mukana jonkin verran myös JAMKin käyttäjien sähköpostiosoitteita.

Listalla oli myös vanhoja useita vuosia sitten viimeksi käytössä olleita jypoly.fi -domainin osoitteita, joka viittaa siihen, että tiedot ovat peräisin joltakin webbifoorumilta, tai ihan puhtaasti hakupalvelua käyttäen julkisilta webbisivuilta ja/tai eri käyttäjien osoitekirjoista tms.

Varmuudella lähdettä ei tiedä kukaan, mutta yksi vaihtoehto on, että käyttäjät ovat käyttäneet JAMKin tietoverkon käyttösääntöjen vastaisesti JAMKin sähköpostiosoitetta jonkin kolmannen osapuolen nettifoorumin rekisteröitymisessä, josta ne on hakkeroitu.

2.)
Sähköpostiosoitteiden paljastuminen ei ole erityisen oleellista, sillä kyseessä on lähes samalla tavalla julkinen tieto, kuin henkilön osoite ja puhelinnumerot perinteisessä puhelinluettelossa.

On astetta huolestuttavampaa, jos osoitteisiin on liitettävissä jokin salasana, kuten vuotajat ovat uhkailleet, mutta toisaalta sekään ei liity suoraan JAMKiin kuin siinä tapauksessa, että hakkeroidussa palvelussa olisi JAMKin tietoverkon käyttösääntöjen vastaisesti käytetty samaa salasanaa kuin JAMKin tunnuksessa.

3.)
Älä koskaan syötä tunnustasi millekään sivulle, joka lupaa tarkistaa löytyykö tietoja vuodettujen joukosta, koska on täysin mahdollista, että tuollaista tarkistussivua käytetään itse asiassa juuri tietojen keräämiseen.

4.)
Jos tiedät olleesi mukana listalla, on JAMKin verkkotunnuksen (ja kaikkien muidenkin palveluiden) salasana hyvä vaihtaa välittömästi. Ohjeita salasanan vaihtamiseksi täältä.

5.)
Kaikkien JAMKin käyttäjien ei tarvitse vaihtaa salasanojaan, mikäli ei ole käyttänyt JAMKin verkkotunnusta ja/tai salasanaa missään ulkoisissa palvelussa. Mitään haittaa salasanan vaihtamisesta ei kuitenkaan ole, pikemminkin päinvastoin.

6.)
JAMKin verkkotunnusta, tai varsinkaan siihen liitettyä salasanaa ei tule koskaan käyttää ulkoisiin palveluihin rekisteröidyttäessä.

Linkkejä:

Ohjeita JAMKin verkko/sähköpostitunnuksen salasanan vaihtamiseksi
Ohjeita hyvän salasanan muodostamiseksi

CERTin tiedote aiheesta
CERTin ohje tietoturvaloukkaustilanteessa
MikroPC-lehden tiivistelmä tapahtuneesta