一項大規模的療法黑客攻擊顯示了患者檔案有多不安全 - 彭博社

Drake Bennett

2024-04-22

基維馬基在監獄裏被拍攝。

攝影師：Juuso Westerlund，彭博商業週刊庫爾布瓦郊區位於塞納河左岸的巴黎西部。這裏是拉德芬斯（La Défense）的所在地，這是一片摩天大樓林立的地區，從城市中可見，形成了從盧浮宮一直延伸到香榭麗舍大街，再穿過凱旋門的宏偉軸線的遙遠而不起眼的終點。離庫爾布瓦的辦公大樓僅幾步之遙，在2023年2月3日早上7點20分，當地警察來到了一棟現代米色公寓樓的短期租賃房。他們是在回應一起家庭暴力報警。

在公寓外，警察遇到了打電話報警的年輕女子。她告訴他們，她的朋友和朋友的丈夫在裏面。前一晚，三人在夜店玩得很晚，丈夫喝醉了。據女子説，他們發生了爭執。現在她擔心她的朋友處於危險之中。警察敲門，沒有人回應，於是他們用破門錘把門撞開。

警察在房內發現的男人和女人似乎正在從深夜的疲憊中恢復過來，尤其是男人，被他們的到來驚醒，但沒有暴力跡象。這對夫婦出示了羅馬尼亞護照。然而，這名男子聽起來或看起來並不像羅馬尼亞人。根據他的護照，阿桑·阿梅特（Asan Amet）是他的一個已知化名，他是一個芬蘭網絡犯罪分子，名叫亞歷山大·基維馬基。警察逮捕了他。

Kivimäki，年僅20多歲，在世界黑客圈中已經是十年的名人。他以才華、專注和創造性殘忍而聞名。多年前，他因一系列引起轟動的數據侵犯和騷擾活動而被定罪，這些活動始於他的少年時代。然而，他最新被指控的網絡攻擊遠遠超過了以往。以受害者人數衡量，這是芬蘭歷史上最大的犯罪。據稱，Kivimäki被指控黑客入侵併企圖勒索一家全國連鎖的心理治療診所，並在此過程中將一大批患者數據發佈到互聯網上。除了典型的身份欺詐材料——社會安全號碼、電話號碼、住址和電子郵件地址之外，這些數據還包括數以萬計的人們最內心的秘密，許多情況下，這些秘密只有他們向心理治療師坦白過。結果是一場全國性的創傷，一位著名的芬蘭政治家將其比作恐怖襲擊。

檢察官帕西·瓦伊尼奧和博-尼克拉斯·隆德奎斯特在Kivimäki的審判中提出了一個時間表。攝影師：彭博商業週刊的尤蘇·韋斯特倫德在他的審判期間，從去年11月到3月初，Kivimäki一直堅稱自己是無辜的。他辯稱調查人員和檢察官之所以將他與其他潛在嫌疑人區分開來，是因為他的名聲，而不是證據。“他們説，‘嗯，我們認識這些人中的一個，’”他告訴我。“‘我們以前調查過他，他來自芬蘭——好吧，就是這傢伙乾的。’”

無論是誰發動了這次攻擊，不過，他們都是按照 Kivimäki 幫助創建的一本教科書來行事的。網絡犯罪是一門生意，由匿名團伙在最高層次上實踐，他們培養出一種專業的形象——他們需要你相信，如果你支付了勒索，他們會遵守承諾。絕大多數他們從未被抓獲。但這種模式與一種更為幼稚、表演性的傾向存在緊張關係，後者以震驚和臭名為成功的衡量標準。將這兩者結合起來，正如 Kivimäki 在他的職業生涯的不同階段嘗試做的那樣，既帶來了名聲和財富的前景，也造成了一種易燃的混合物。

Kivimäki 在赫爾辛基西部的鄰居埃斯波長大，那裏是一個遍佈辦公園區和獨立住宅的大型市政區。諾基亞公司的總部就在那裏，在 Kivimäki 最早的幾年裏，該公司正在用其糖果棒手機征服世界。如今，由於 iPhone 的出現，諾基亞已經不再是當年的巨頭，但它的興衰留給芬蘭一個與其 550 萬人口不相稱的龐大科技公司和企業家羣體。

在童年和青少年時期，Kivimäki 以他的中間名朱利葉斯為人所知。他從3歲開始就開始玩家庭電腦。到了十幾歲，他已經在互聯網中繼聊天論壇上以“zeekill”等代號建立了自己的聲譽，這些論壇對於黑客和模仿他們的年輕人來説是一種原始社交媒體。瞭解他的家庭情況很困難，Kivimäki 本人也不願意談論他們，但有證據表明他的父母擔心他的發展方向，並曾試圖未果地推動他走向更傳統的科技職業。Kivimäki 沒有從中學畢業，也沒有上大學。

Kivimäki經常訪問的IRC論壇之一是一個名為Hack the Planet的團體。這個名字是來自於1995年的一部營地經典電影《駭客》中的一句話，講述了一羣叛逆的賽博朋克天才。（年輕的安吉麗娜·朱莉飾演“Acid Burn”）。該論壇的成員侵入了企業網絡，最好是科技巨頭或網絡安全公司的網絡，併發布他們能找到的任何東西。像賽門鐵克（Symantec）和圖像託管服務ImageShack這樣的公司發現自己成為了Hack the Planet的目標，競爭對手黑客的個人信息也被髮布在HTP的數字雜誌中。“那只是孩子們玩耍而已，”Kivimäki今天説。但正如這些團體迅速指出的那樣，揭露值得信賴的數字系統的安全漏洞並讓守護者感到羞愧以做得更好是有社會益處的。科技公司開始支付數以萬美元計的“漏洞賞金”給向他們報告此類漏洞的黑客。

大約在2011年，當Kivimäki 14歲時，他和一位名叫Blair Strater的美國少年就下一期Hack the Planet的雜誌應該由誰的網站託管展開了激烈的爭論。事情升級了，雙方發出了各種威脅，最終他們兩人都被踢出了這個團體。

Strater在自己的回憶中，經常在網上與人爭吵。“説到底，我只是一個在互聯網上表現得很煩人的自閉症孩子，”他現在説。他沒有料到Kivimäki。首先，披薩和中餐被送到了Strater與父母和妹妹一起住在伊利諾伊州奧斯威戈的家裏。當訂單送達時，上面寫着“請找朱利葉斯·Kivimäki”。然後一輛卡車送來了三噸碎石傾倒在家庭車道上。家裏的互聯網和電力被冒充家庭成員的人關閉了。有一次，黑客接管了特斯拉公司的官方Twitter賬號，發佈了Strater家的電話號碼和地址，並表示任何打電話或前往他們家的人都會得到一輛免費汽車。

騷擾持續了多年，情況變得更加黑暗。Strater開始定期接到電話威脅。當地警察被 crank-called 到家裏超過 20 次——“swatting” 正變得足夠流行，以至於有了一個名字。在 2013 年的一次電話中，聲稱是 Strater 的自動文本轉語音程序的機器人聲音説他謀殺了女友並計劃殺死父母並“炸燬整個街區”。由於一個使用他的在線用户名之一的電子郵件地址發送了一封炸彈威脅給當地警察偵探，Strater 在少管所度過了三個星期。他的母親，一位生物統計學家，在她的社交媒體賬户被黑客攻擊後失去了工作，然後充滿了種族主義和反猶太主義的咆哮。

折磨 Straters 只是 Kivimäki 當時的一個項目。他找到了一羣新的夥伴，其中許多人聚集在 Darkode，這是一個用於惡意軟件、竊取數據和黑客服務的在線市場。其中之一是 Vinnie Omari，一個二十多歲的英國人，他與能夠完成工作的人匹配。工作範圍從修補服務器安全漏洞到監視可疑配偶，再到大規模竊取網站數據，而中間人的分成，Omari 説，每次可能達到數萬美元。

Kivimäki 和 Omari 幾次一起出去玩，包括在阿姆斯特丹，一起吸大麻和外出吃飯。然而，他們之間的大部分關係是在線的，在那裏他們花了數小時玩 魔獸世界 和 英雄聯盟。Omari 説，Kivimäki 有一個着迷的一面。通常，Kivimäki 和他的在線朋友選擇方便的目標。“如果他們不進行報復，那麼 Julius 會感到無聊，”Omari 説。“然後我們就轉向新的目標。”但是如果有人反擊，Kivimäki 可能會變得固執，並一次又一次地追擊他們。

在這個時候，多個執法機構都在瞭解Kivimäki的情況。2013年夏末，他飛往拉斯維加斯參加黑帽網絡安全大會。一位Hack the Planet成員也在那裏，住在貝拉吉奧酒店，兩人在他的房間裏聊天時，有六名FBI特工敲門。特工們簡短地採訪了Kivimäki，“只是一些廣泛的基本問題”，他回憶道，並沒收了他的手機。當Kivimäki回到自己的酒店房間時，特工們也在那裏等着。他説，他們拿走了他的筆記本電腦，並告訴他“永遠不要再來這個國家”。他確信HTP中有人在與聯邦調查局合作。

幾周後，2013年9月23日，Kivimäki在埃斯波的家中，父母外出時，赫爾辛基警察帶着搜查令到達。他的名字出現在一起持續進行的網絡犯罪案件中。Kivimäki被拘留，連同他的電腦，一台宏碁Aspire台式機。警方在電腦上發現的東西與他們正在調查的其他案件沒有關聯。然而，這些發現強烈暗示了多起其他犯罪。一名法官認為，如果允許其自由，Kivimäki可能會銷燬證據甚至繼續他的犯罪活動，於是將他關進監獄。

網絡犯罪調查員安蒂·庫裏圖。攝影師：Juuso Westerlund，彭博商業週刊安蒂·庫裏圖（Antti Kurittu）是該案件中的一名警方調查員。“我們會花上半天時間搜查他的電腦，”他説，“然後我們會花剩下的時間與他交談。” 這些對話並沒有什麼成果，但在基維馬基（Kivimäki）的硬盤上，警方發現了一些文件，文件名充滿了種族主義和粗俗的內容，證據顯示他和其他“黑客星球”成員在5.07萬台計算機服務器上安裝了後門，利用了Adobe軟件平台ColdFusion的一個漏洞。在一次攻擊中，基維馬基和可能還有其他人已經侵入了美國非營利組織Educause的計算機系統，該組織負責管理“.edu”域名。利用這個訪問權限，基維馬基將來自麻省理工學院服務器的流量路由到哈佛大學的服務器，導致兩者都崩潰。然後，基維馬基將通過麻省理工學院服務器傳遞的所有電子郵件流量重定向到他控制的服務器。

在其他攻擊中，密碼、信用卡信息和其他個人數據已經從受損服務器中被獲取。然後這些服務器被同步到了一個殭屍計算機軍團中，這是一種可以用於發動分佈式拒絕服務（DDoS）攻擊的計算機軍隊，通過向其發送大量流量來使其他服務器和網站崩潰。然而，對庫裏圖來説，硬盤的內容也顯示了這位年輕黑客能力的侷限性。基維馬基很可能並沒有創建他使用的任何惡意軟件。他的電腦上存儲了各種病毒，但沒有一個的源代碼。

在接下來的一年裏，基維馬基一直在警方拘留所裏進進出出。他有時會在監獄裏度過幾周的時間。在這些間隔期間，他繼續之前的行為。在2014年夏天，他和一些Darkode的熟人發起了一系列攻擊，關閉了英雄聯盟服務器，然後瞄準了微軟的Xbox、索尼的PlayStation和Twitch，這是一家受遊戲玩家歡迎的直播網站。作為贖金，攻擊者會在Twitter上要求知名主播發布自己額頭上寫有“蜥蜴小隊”（他們鬆散關聯的團伙名稱）的照片。遊戲和社交媒體已經融合，創造了一種新的公開表演形式。基維馬基和他的朋友們決定黑客行為也應該成為其中之一。

對個人的攻擊也在繼續。Kivimäki領導了一場針對一名同行黑客、一名調查過他的FBI特工家人以及康涅狄格州諾沃克的一名與他斷絕聯繫的女孩的"swatting"活動。在那通電話中，Kivimäki冒充女孩的父親，聲稱自己攜帶重型武器且有自殺傾向，掛斷電話時還能聽到他模擬槍聲。約翰·斯梅德利，索尼在線娛樂公司總裁，成為了一個常被攻擊的目標。2014年8月，這位直言不諱的視頻遊戲高管在推特上發文稱即將飛回聖地亞哥，Kivimäki通過冒充他打電話給航空公司，得知了斯梅德利的美國航空公司航班信息。然後Kivimäki再次打電話，再次冒充斯梅德利，聲稱有理由相信有人冒用他的護照和機票登上了飛機。他提醒客服代表關注了@lizardsquad發的一條推文，稱飛機上有炸彈。美國安全機構的極端主義傾向再次助長了這夥人的囂張氣焰。兩架戰鬥機在飛機中途與之相遇，飛機被重新定向到鳳凰城，FBI特工對斯梅德利進行了詢問。對於這個故事，他拒絕置評。

公開來説，Lizard Squad口頭上支持白帽黑客理念，但該團似乎更感興趣的是上演一場無政府主義的表演。2014年聖誕節，Lizard Squad通過DDoS攻擊關閉了Xbox Live和PlayStation Network的服務器，暫時阻止了任何剛剛拆開包裝的遊戲主機的使用。Kivimäki自稱為"Ryan"，接受了英國Sky News的電視採訪。“我不能説我感到內疚，“他説着抑制着笑容。“我可能迫使一些孩子與家人共度時光，而不是玩遊戲。“當被問及為什麼團伙這樣做時，他説這是為了"提高人們對糟糕網絡安全的認識"和"取悦自己”。

2015年7月，芬蘭地方法院判處Kivimäki洗錢罪、多項欺詐罪、網絡欺凌和50,700起嚴重數據侵犯罪。除了哈佛和麻省理工的黑客事件外，他還被發現儲存並使用了盜竊的信用卡信息。但由於他是未成年犯罪，判決相對寬容，即使按照芬蘭標準來看也是如此。國家沒收了他的宏碁電腦，並強迫他放棄了6,588.88歐元（約7,000美元）。他被判有期徒刑，但可以自由離開。“那個垃圾東西讓我的飛機墜毀，泄露了我的信息，並對我做了各種破壞，”憤怒的Smedley在第二天發推文説。不久之後，他的新公司Daybreak Games遭遇了DDoS攻擊。

Kivimäki將他的Twitter簡介改為“無法觸及的黑客之神”。他離開芬蘭，去了巴塞羅那，然後倫敦，在那裏為他的女友和自己租了一對豪華公寓——其中一個位於威斯敏斯特，就在間諜機構MI5總部附近。他去了迪拜、香港、捷克共和國和羅馬尼亞。他參觀了尼泊爾和法國阿爾卑斯山。在某個時候，他結婚了。

在第一次定罪將近五年後，Kivimäki再次接受審判，這次是因為騷擾活動。FBI大部分蒐集的證據都交給了芬蘭國家調查局（NBI），其中包括Lizard Squad成員之間的電話錄音和IRC聊天記錄。這些證據顯示了Kivimäki輕鬆提取敏感信息的驚人方式。有一次，作為對Lizard Squad的攻擊的回應，Smedley在網上宣佈他從Lifelock Inc公司獲得了身份盜竊保護。Kivimäki打電話給Lifelock，聲稱自己是Smedley。在審判提交的通話錄音中，客服代表問Kivimäki一系列安全問題，他全都答錯了。儘管如此，在對話結束時，他被允許為賬户創建新密碼，使他能夠登錄並查找到Smedley的銀行詳細信息。

被問及為什麼這個團體這樣做，他説這是為了“提高人們對糟糕網絡安全的認識”和“取悦自己”

2020年6月，Kivimäki再次被判有罪，接受了另一項緩刑監禁刑罰，並被要求支付數千美元的賠償金。然後他消失在公眾視野中。但是，有人非常類似於他，在Hacker News的評論部分留下了大量他的思想記錄。在那裏，一個自稱為ryanlol的發帖者經常討論數字貨幣、Covid-19政策以及犯罪倫理和戰術。“你嚴重高估了區塊鏈分析工具的能力，”當一位對話者警告執法部門能夠追蹤加密支付時，他回答道。“如果惡作劇電話報警應該受到比罰款更嚴厲的懲罰，”他在2017年回覆道，“那麼你生活在一個非常糟糕的社會，應該先專注於解決這個問題。”他在2020年10月寫道，被黑客勒索數據的機構有義務支付。拒絕支付是“不道德的”。

被問及此事，Kivimäki否認以ryanlol的身份發帖，儘管這與他在警方審訊中承認的內容相矛盾，並且很難與2017年的一篇帖子相符，其中ryanlol詳細描述了自己的個人犯罪記錄，包括“對計算機系統的5萬700次未經授權訪問”。Ryanlol將自己描述為無政府主義者評論員和奢侈生活方式影響者的結合體。他描述瞭如何編程使他的計算機關閉，擦除當局可能想要的證據，只要他拉出插在3.5毫米插孔中的耳機制作的“殺死開關”。他為乘坐阿聯酋航空頭等艙的旅行者提供了建議（“在降落前立即預訂淋浴，然後在下飛機時感覺清新愉悦”），並提到“在世界上一些最好的監獄中度過了一些時間”。他詳細描述了他開設高端旅行社的雄心。2021年11月的一篇帖子將他的一些興趣結合成一個超越傳統的計劃：“一個恐怖組織可以讓他們的一個特工在頭等艙上花費一百萬美元，”他沉思道。一旦策劃者們獲得了超級VIP航空公司地位，“請求像在起飛時看駕駛艙這樣的事情就變得非常容易了。”

“金錢殺死了黑客團體，” ryanlol 在2021年春天寫道。“我想加密貨幣的興起應該為給最後一擊負責。” Hack the Planet 的創始人“當時還是孩子”，他聲稱，“我們中很少有人關心金錢。” 但現在不再是這樣了。比特幣以其不可追蹤的支付承諾，使得利用數據泄露輕而易舉地獲利成為可能。“很明顯為什麼再也沒有人再製作小冊子了。”

Kivimäki 在互聯網的某個年輕男性圈子裏成為了名人。網絡安全公司 Unit 221B的首席研究官 Allison Nixon 稱他為一種文化創新者。“這個傢伙對在線孩子們的惡劣影響程度非常顯著，”她説。在她監控的留言板和聊天室中，Lizard Squad 仍然有一種神秘感，近年來，新的團伙接過黑客惡作劇的大旗。其中之一，Lapsus$，在2021年至2023年間負責了一系列攻擊。像 Lizard Squad 一樣，它瞄準了流行的遊戲品牌，並公開嘲笑受害者，最大程度地吸引注意力，同時也給調查人員留下了線索。

2020年9月28日晚上，一個星期一，Ville Tapio 在家裏趕上了當天積累的電子郵件。Tapio 是一個長着櫻桃眼的前管理顧問，穿着像符號學教授一樣，至少在英語中講話非常謹慎。他住在赫爾辛基東部羣島中形成的數百個島嶼之一上。當時他是芬蘭最大的心理治療服務提供商 Vastaamo 的首席執行官。

前Vastaamo首席執行官維勒·塔皮奧在審判中。攝影師：艾米·科爾霍嫩/萊赫蒂庫瓦芬蘭在世界幸福報告中多年來一直名列前茅，但芬蘭人也像其他人一樣遭受心理疾病的困擾。塔皮奧的母親是一名心理治療師，2008年他共同創立了Vastaamo，他希望讓她所做的工作在他的國家更廣泛地可獲得並減少社會污名。Vastaamo積極營銷自己，在購物中心開設診所，並幫助製作了一檔名為Kummalliset kammot（“奇怪的恐懼”）的全國電視真人秀。對於招募的治療師，它提供了擺脱私人執業的行政煩惱以及一個直觀的網絡應用程序，在那裏，他們可以在每個會話上寫下詳細的筆記等。忠於他的使命，塔皮奧特意將位置設在芬蘭一些較為偏遠的地區。Vastaamo迅速發展，2019年，私募股權公司Intera Partners以約1100萬美元的價格購得了大部分股份。

週一晚上查看電子郵件時，塔皮奧驚訝地發現其中一封是勒索信。發件人自稱是一名黑客，並聲稱已竊取了Vastaamo的患者數據庫。郵件的其餘部分是用英語寫的。“無論您支付我們任何價格，都將遠遠小於如果我們在互聯網上發佈這些信息將給您的業務造成的損害，”郵件寫道，然後以更為殷勤的第一人稱聲音結束：“如果您有任何問題或難以理解正在發生的事情，我會在這裏幫助您。”

閲讀電子郵件時，塔皮奧注意到其中的芬蘭語有些問題。它在語法上是不正確的，但不像非母語使用谷歌翻譯時那樣。這種笨拙讓他覺得是故意的，一種虛假的不流利感。“就像出自喜劇一樣，”塔皮奧説。

勒索郵件還發送給了瓦斯塔莫公司的另外兩名員工：數據保護官薩米·凱斯基寧和軟件開發人員伊拉里·林德。在塔皮奧家吃披薩時，他們三個迅速確定了附在勒索郵件中的患者記錄樣本是真實的。塔皮奧聯繫了一家名為Nixu的芬蘭網絡安全公司。正好，那裏的一位主要調查員是安蒂·庫裏圖，他幾年前離開了赫爾辛基警察局。他的團隊開始努力確定數據泄露是如何發生的。他還聯繫了芬蘭國家調查局，讓他們接管了勒索談判。

最初，談話繼續通過塔皮奧進行。“我們不與罪犯談判，”他按照指示回應了勒索通知。“如果你公開這些數據，我們將追究法律責任。”勒索者的回應也是用英語，在幾個小時內就到了：“我理解你的立場，但這不是談判。” 他們繼續説，瓦斯塔莫未能保護患者和治療師託付給它的私人信息。“未能阻止這些極其敏感細節的發佈將是一個更大的失敗。” 勒索金額是40比特幣，當時約合43萬美元。

受害者Mia Marttiini在家中。攝影師：Juuso Westerlund為彭博商業週刊正如Nixu的調查所揭示的那樣，Vastaamo極其粗心大意。其數據庫實際上在15個多月的時間裏完全暴露在互聯網上。公司網絡的防火牆已被禁用，保存患者信息的服務器周圍的另一個防火牆也被禁用。最令人髮指的是，系統管理員帳户上沒有設置密碼。使用幫助黑客發現互聯網連接設備的專用搜索引擎之一的任何人都可以輕鬆登錄Vastaamo的系統並複製他們找到的所有內容。

實際上，Vastaamo至少發生過兩次違規行為，很可能是不相關的。其中一次發生在2019年，當Tapio正在與Intera Partners就公司股權進行談判時。（在那次攻擊中沒有竊取數據。）當這一情況在Nixu的調查中曝光時，Tapio迅速被解僱，私募股權公司起訴要廢除交易。然而，根據Tapio的説法，安全漏洞也對他隱瞞了。當他得知這些漏洞時，讓他懷疑這次違規是否是內部人員所為。

多年前，Keskinen和Lind，勒索信的另外兩名收件人，曾因與另一起事件有關而接受刑事調查，這是他們在Vastaamo努力應對自身危機時告訴Tapio的。然而，在早期事件中，這兩名男子並未被起訴，根據Vastaamo案件檢察官的説法，沒有證據表明他們中的任何一人蔘與了勒索企圖。（他們都沒有回應有關此故事的評論請求。）這説明了公司安全實踐的一些原因，可能是懈怠和懶惰的結合 - 沒有管理員密碼或防火牆會使Vastaamo的IT人員更容易遠程工作。兩年半後，Intera的訴訟將以不公開的條款達成和解。

在勒索要求之後的幾周，菲律賓國家調查局的調查人員繼續與勒索者進行談判。他們發送了情緒化的電子郵件，假扮成Tapio，懇求公司得以倖免。作為一個姿態，他們向與勒索通知書相關聯的錢包地址發送了0.1比特幣。

10月21日早上，黑客採取了新的策略，並給自己取了一個名字。一個帖子出現在一個名為Torilauta的芬蘭語暗網論壇上，用户名為ransom_man。 ransom_man寫道，Vastaamo停止回覆電子郵件，為了推動事情的發展，他已經在一個特殊的泄漏網站上發佈了100份患者記錄。正如數據勒索行動中的標準做法一樣，該網站位於暗網上，在常規網絡瀏覽器和搜索引擎中是看不到的，但任何使用特殊匿名化Tor瀏覽器的人都可以查看。 ransom_man承諾每天向該網站上傳100份記錄，直到贖金被支付。帖子以“盡情享受！” 結束。在下面是一個標有“新聞聯繫人”的電子郵件地址。

幾個小時後，在一個聲譽不佳的芬蘭右翼留言板Ylilauta上，以及在Reddit上出現了類似的帖子。其他帖子中直接複製了患者記錄。與泄漏網站上的記錄不同，這些記錄對任何有互聯網連接的人都是可見的。它們似乎是一種最大影響的預告片。對ransom_man設備的數字取證後，將揭示他用於在數據庫中查找這些記錄的搜索詞。一些詞彙，如“首席執行官”、“著名”和“警察”的芬蘭語詞彙，暗示了他正在尋找的患者類型。其他詞彙，如“強姦”、“戀童癖”和“強姦幻想”，則暗示了他尋找的內容。這些預告片帖子，包括患者姓名，都是這些搜索的結果。

二十小時後，當第二批記錄出現在泄漏網站上時，芬蘭和其他地方的網絡安全專業人員正在監視。Nixu團隊設置了一個軟件腳本，每小時檢查網站並抓取任何新數據。第三天，10月23日，勒索者在赫爾辛基時間午夜後不久上傳了另外100份患者記錄。但是，幾個小時後，泄漏網站上又出現了另一個文件。這是超過30,000份記錄——所有從Vastaamo獲取的數據。

如果目標是震驚和恐嚇國家，勒索者已經成功了。大規模泄漏的消息在芬蘭媒體中爆炸開來。“每個人都認識一個認識一個”在其中的信息，芬蘭領先的網絡安全研究員Mikko Hyppönen説。芬蘭總理桑娜·馬林召集關鍵部長開會討論政府的應對措施。芬蘭總統將這次攻擊和泄漏描述為“無情的殘忍”。即將成為該國衞生和社會事務部長的議員漢娜·薩爾基寧將其比作“一種恐怖主義行為”。

在芬蘭，“每個人都認識一個認識一個”他們的治療記錄被泄露了

然而，如果目標是為了得到贖金，勒索者所做的事情毫無意義。暴露幾百名患者作為致命認真的證據具有明顯的、雖然是反社會的邏輯。但是發佈整個數據集消除了Vastaamo支付的任何動機。庫裏圖開始懷疑這是否是一種誤導調查人員的詭計。然後他開始懷疑這是一個嚴重的錯誤。

10.9千兆字節的文件出現幾個小時後，帶着一個俏皮的消息消失了，“糟糕 :D”。然而，那時，多名調查人員已經至少下載了部分文件，並通過仔細審查命令歷史記錄，NBI團隊對發生的事情有了更清晰的認識。勒索者在手動上傳了前三批患者信息後，開始着手自動化這個過程。但他編寫的腳本很粗糙，並且沒有進行試運行。在約定的時間開始行動時，他的程序將運行的服務器的整個主目錄上傳到了泄露網站上。“要犯這種錯誤，你必須既無知又傲慢，”Hyppönen説。

還有其他線索。Kurittu在無意中泄露的主目錄中查找時注意到，許多文件名是淫穢或侮辱性的，其中一個提到了ColdFusion。他想起了七年前他檢查過的那台宏碁台式機。“我只知道一個人會給文件取這樣的名字，”他記得當時的想法。

在錯誤上傳後的兩天，勒索者開始給瓦斯塔莫(Vastaamo)的個別患者發送電子郵件。用芬蘭語，他提出以200歐元的比特幣價值刪除他服務器上的患者記錄作為交換。（24小時後價格將上漲到500歐元。）這些電子郵件似乎是為了從這個寶庫中挽回一些東西。在某種程度上，它們也是一種創新。黑客通常勒索公司，而不是他們的客户。與成千上萬的個人聯繫和談判遠不如效率高。如果一羣專業的網絡犯罪分子犯了這樣的錯誤，他們很可能會選擇離開。不管這是誰，他們更加固執或者更加絕望。

Jenni Raiskio，一位律師，其公司代表受到Vastaamo數據泄露影響的成千上萬人。攝影師：Juuso Westerlund，為彭博商業週刊拍攝事實證明，不可信任。一些Vastaamo患者確實支付了贖金，但他們的數據從未被清除。即使勒索者本意是這樣，很快就變得不可能。調查人員已經開始沒收他的服務器。在勒索者的家目錄中發現的IP地址立即將芬蘭國家調查局(NBI)引向赫爾辛基附近的一個服務器農場。調查人員接管了那裏的一台服務器，然後接管了另外兩台與數據泄露有關的服務器，並開始仔細研究這些機器的通信日誌。

儘管取得了這一早期突破，數月過去了仍未逮捕任何人。與此同時，芬蘭政府試圖安撫其公民。它關閉了一個漏洞，使Vastaamo基本上免受該國健康數據保護法律的約束，並且在2021年12月對該公司處以60.8萬歐元的罰款。然而，到那時，Vastaamo已經申請破產並將其診所出售給一家職業治療連鎖機構。前首席執行官Tapio後來因違反歐盟的《通用數據保護條例》被判處三個月緩刑監禁。他對這一決定提出上訴，上訴法庭審判定於明年舉行。

沒有任何事情可以讓受害者找回他們的秘密。自數據泄露以來，患者數據庫的副本已經出現在文件共享網站上。2021年夏天，一名匿名編碼者甚至創建了一個搜索引擎，使這些寶藏可以通過姓名進行搜索。對於那些已經容易抑鬱、焦慮或者正在應對過去創傷的人來説，這種暴露以及永遠無法真正結束的感覺，只會加劇最初導致他們來到Vastaamo的症狀。“對於我們所有人來説，我們都有這個終身判決，”59歲的設計師Mia Marttiini説。Jenni Raiskio是一家代表2600名受害者的芬蘭律師事務所的律師。其中一些人，現在受到恐懼和不信任治療的影響，已經停止就診。其他人失去了工作。Raiskio説，一些人被逼自殺。

2022年10月29日，在勒索企圖失敗兩年後，芬蘭檢察官Pasi Vainio簽署了對Kivimäki的逮捕令。懷疑他仍在國外，芬蘭警方將他列入歐洲刑警組織的通緝名單，公開了他的名字。芬蘭媒體通常不會公佈嫌疑人的名字，但在這種情況下卻大聲做出了例外。儘管如此，Kivimäki繼續在歐洲各地旅行。根據他在審判中提交的Instagram視頻，他和一些朋友曾在聖特羅佩度過一段時間。

當局最終在巴黎外找到Kivimäki時有一定的諷刺意味。根據Kivimäki的説法，他妻子的朋友在Courbevoie向警方提供線索是為了報復他。他説，在一起夜店後，這位朋友失控並變得越來越吵鬧，最後他把她趕出了公寓。然後她打電話給警察，指控他毆打妻子。如果Kivimäki的説法屬實，而法國法院文件中的細節至少部分符合他的説法，那麼他最終被找到並被拘留是因為有人愚弄警察前去他的門口。換句話説，他被惡作劇了。

2023年2月底，Kivimäki被引渡到芬蘭，並被關押在赫爾辛基以北半小時車程的萬塔監獄。除了技術上的不透明性，起訴網絡犯罪的一個巨大挑戰在於證明在執行特定命令時誰在鍵盤前。根據領導此案的芬蘭國家調查局偵探總監Marko Leponen的説法，瓦斯塔莫調查也不例外。“從犯罪到嫌疑人的路徑並不是一條直線，”他説。但有很多聯繫。“這是一個蜘蛛網，而在這個網的中心是Kivimäki先生。”

第一條線索出現在被沒收的服務器的通信日誌中。在意外數據泄露後，控制那些服務器的人將內容複製到其他地方，然後儘可能地擦除了大部分內存。但在此之前，那個人一直小心地通過使用虛擬專用網絡來掩飾他們的IP地址，但那一次，也許是出於匆忙或恐慌，他們在沒有VPN的情況下登錄了。其中一個服務器記錄的未經掩飾的IP地址註冊在Kivimäki的兩個倫敦公寓之一。Kivimäki曾使用同一IP地址進行在線支付，包括一筆用於酒店住宿的支付和另一筆支付給一個OnlyFans創作者的支付。

通信日誌中的另一個IP地址被追蹤到巴塞羅那的一間公寓，該公寓租給了一個名叫Daniel Fulgescu的人。這似乎是Kivimäki的另一個羅馬尼亞化名。檢方稱，這是Kivimäki開的一輛寶馬7系轎車的註冊名稱。一輛這輛車的照片，包括車牌，被“Aleksanteri K”發佈在對一家高端巴塞羅那汽車美容店的五星好評中。（Kivimäki否認這輛車是他的。）

服務器日誌還導致NBI找到了一組由一家諮詢公司租用的不同服務器。這家名為Scanifi的公司向在線發現的數據庫所有者提供網絡安全服務。該公司的聯合創始人是Kivimäki，他支付了租用這些服務器的費用。Scanifi的一個服務器被配置為多個較小的虛擬服務器，其中包括一個內容被加密的服務器。當調查人員設法破解加密時，他們發現了ransom_man的主文件夾的副本。“這是一個完全的複製品，”Vainio説，“用於犯罪的服務器的確切副本。”

也許最大的突破是，調查人員確定了談判代表向最初勒索要求中的錢包地址支付的0.1比特幣的最終去向。控制那個錢包的人首先將比特幣轉換為Monero，一種被認為由於內置在其區塊鏈中的特殊混淆措施而難以追蹤的加密貨幣。根據NBI的説法，Monero隨後被轉移到加密交易所Binance的一個賬户，並再次轉換為比特幣。其中一部分資金最終進入了Kivimäki擁有的銀行賬户。

儘管調查報告刪除了關鍵細節，但NBI的Leponen表示，Monero跟蹤和Scanifi服務器的解密在很大程度上依賴於案件中可用的其他證據。意外上傳對調查人員來説是一份難得的禮物。在ransom_man的主文件夾中，除了記錄了他勒索了數以萬計患者的聲譽的記錄外，還存儲了他自己的信息。其中包括一些他的登錄憑據，以及有關其他人的一些提示。

基維馬基在法庭上。攝影師：Juuso Westerlund，彭博商業週刊去年11月13日，在他曾經的故鄉埃斯波全新的地方法院，基維馬基的第三次審判開始了。指控包括“嚴重的計算機入侵”、私人信息的傳播、20項勒索罪（對於那些徒勞地支付贖金的患者）以及21316項企圖勒索罪。芬蘭的刑事被告大多數情況下是由一組法官而不是陪審團審判的。基維馬基的法官是一名女性和兩名穿着商務服裝的男性，坐在法庭前面的講台上。最初被分配到此案的一名法官因與Vastaamo受害者有個人關係而自行迴避。

房間很小，用金髮木板裝飾，像桑拿房一樣，記者和其他旁觀者坐在三排配有顯示數字展品的監視器的桌子上，或者坐在沿着後牆排列的椅子上。數百名受害者遠程觀看——根據法律，他們有權目睹訴訟程序，而他們龐大的人數帶來了後勤挑戰。兩個遠程觀看地點之一是一家電影院。為了保護剩下的患者隱私，確切的位置沒有向公眾披露，對它們的訪問也受到嚴格控制。

基維馬基在一月中旬的兩天作證，當時赫爾辛基正在從暴風雪和嚴寒中掙扎。第一天，他回答了自己律師的問題；第二天，回答了檢察官的問題。首席法官禮貌地偶爾提出自己的問題。基維馬基看到各種時間戳登錄和銀行交易的電子表格時，大多數時候表示他不記得自己做過。他一再指出，其他人也可以訪問與他被指與入侵有關的IP地址、憑據和服務器——在不同時間，朋友和同事也曾使用過。他堅稱自己沒有動機訴諸犯罪。他説，及時的加密貨幣投資是他在網上炫耀的生活方式的原因。

在接受Bloomberg Businessweek採訪的第二天，Kivimäki進一步闡述了這些論點。對於美國人來説，凡塔監獄具有公立高中般毫不威脅的氛圍。Kivimäki在那裏被提供了一個房間作為辦公室，裏面有一台台式電腦：它沒有連接到互聯網，其處理單元被鎖在鋁箱中，因此無法插入任何東西。政府還為他提供了一台加密筆記本電腦供他在審判中使用。在一個星期二的上午，Kivimäki被留在一個會客室裏，與一名記者和攝影師獨處兩個小時。之後，他和其他囚犯將在他們共用的廚房裏一起做午餐。今天是披薩日。

Kivimäki自我介紹為Alex，而不是Julius。他多年前放棄了自己的舊中間名“只是為了讓銀行開心”，他説。他的英語流利，只帶有輕微的口音，是互聯網上的美式習語。當他被指控是Vastaamo數據泄露案的嫌疑人時，他説，他不相信自己會得到公正的審判。這就是為什麼他沒有自首的原因。“我並不是非常渴望來這裏。很明顯，他們並不真的尊重我的基本權利。”

他説，這種恐懼已經得到了證實。“他們從未搜查過我在倫敦的住所，他們聲稱我是在那裏居住並聲稱我是從那裏實施這些犯罪的，”他説。檢察官Vainio承認這是真的，並且由於“關於調查令的誤解”，倫敦警方未能扣押Kivimäki的任何設備。至於加密貨幣支付追蹤證據，它是在審判的後期引入的，Kivimäki和他的律師還沒有能夠對其進行適當審查。如果他被判有罪，這是他計劃在上訴中要解決的問題。Peter Jaari，Kivimäki的律師，極力指出，檢察官尋求的七年刑期在芬蘭標準下是一個嚴厲的判決。

Kivimäki也很高興糾正他所説的關於他早期職業的誤解。他自稱只是Lizard Squad的一名發言人。“我的參與很少。在法庭上有點誇張了，”他説。“那裏有更有才華的人，他們才是真正做事的人。”至於對Blair Strater及其家人的攻擊活動，那也是一個團隊的努力。“我可能給他打過一兩次電話，送過他披薩，”他説。Kivimäki説，Strater本人以發出威脅而聞名：“他非常擅長製造敵人。”（“我唯一威脅過別人的事情就是告發他們，”Strater堅稱。“這不酷，但威脅告發和威脅殺人之間存在很大的脱節。”）

“我對編程幾乎一無所知，”Kivimäki堅稱。他説，他了解的是“系統架構”。

“任何公司都是由用於不同目的的不同系統組成的，”他説。他自己的描述中，他的專長是理解機構和讓他們做事的人。對於技術細節，瞭解得就少一些。

在那次談話幾周後，Kivimäki短暫失蹤。他對拘留提出上訴，他的法官認為他不再構成潛逃風險，可以釋放。上訴法院迅速推翻了這一決定。但那時，似乎沒有人知道Kivimäki在哪裏。當然，他在網上。一週內，他在留言板上瘋狂發帖，而他的律師Jaari承諾他仍計劃出席下一次預定的聽證會。警方最終在赫爾辛基市中心一套以他姐姐名義租賃的頂層公寓內拘留了Kivimäki。他們部分通過他在聊天論壇Ylilauta上發佈的一張Krug香檳瓶照片的背景細節追蹤到了他。

審判於3月8日結束，決定仍在等待中。受害者之一是一名小學老師和年輕母親，在審判結束前一週來到法庭，朗讀了她寫的一份聲明。“許多受害者在那個時候正處於人生最黑暗的時刻，”她説。“數據泄露讓情況變得更糟。”她認為，對於Kivimäki被指控的罪行來説，七年的刑期遠遠不夠。

事後描述時，她説當她看到Kivimäki時，並沒有像她想象的那樣害怕。但她仍不希望在這個故事中使用她的真名。作為一個化名，她建議使用米拉，一個常見的芬蘭名字。她指出，芬蘭有一個“名字日”的傳統，就像生日一樣，在你的名字日，你會收到禮物。米拉的名字日是4月30日，這也是Kivimäki的法官們承諾作出裁決的日期。對於她的禮物，她希望是有罪的。 —與**Leo Laikola