Henkilötietoturva vaarantunut Paralympiakomitean matkalaskujärjestelmässä

Paralympiakomitean matkalaskujärjestelmässä ilmenneen käyttäjäoikeusvirheen vuoksi rekisteröityneillä käyttäjillä on ollut pääsy toisten käyttäjien henkilötietoihin vuosien 2021–2025 aikana. Asetusvirhe on korjattu, ja asiasta on ilmoitettu sekä asianosaisille että tietosuojavaltuutetulle.

Paralympiakomitean tietoon on tullut M2-matkalaskujärjestelmän käyttäjäoikeuksien asetuksissa ollut virhe, joka on korjattu välittömästi sen jälkeen, kun ongelma todennettiin. Virheestä ja sen mahdollistamista tietoturvaloukkauksista on tehty samalla ilmoitus tietosuojavaltuutetulle.

Käyttäjäoikeuksien asetusvirheen vuoksi järjestelmään kertamatkustajatunnuksilla rekisteröityneillä käyttäjillä on ollut mahdollisuus päästä tarkastelemaan omien tietojensa lisäksi myös muiden käyttäjien tietoja.

Henkilötiedot ovat sisältäneet matkalaskuja tehdessä kerrottavat nimen, osoitteen, sähköpostiosoitteen, puhelinnumeron sekä henkilötunnuksen.

Henkilötietoja ei ole päässyt lataamaan ulos järjestelmästä, ja ne ovat olleet saatavilla vain Paralympiakomitean myöntämillä kertamatkustajatunnuksilla järjestelmään rekisteröityneille käyttäjille.

Tällaisia käyttäjiä ovat esimerkiksi Paralympiakomitean järjestämässä toiminnassa vuosien 2021–2025 aikana mukana olleet urheilijat, valmentajat ja muut liikunnan ja urheilun taustatoimijat sekä henkilöt, joille on Paralympiakomitean kautta maksettu esimerkiksi Ahos-apurahoihin liittyviä matka- tai kulukorvauksia.

Henkilötietoja ei selvitysten mukaan ole vuotanut järjestelmän ulkopuolelle, eikä Paralympiakomitean tiedossa tällä hetkellä ole henkilötietojen väärinkäyttöä. Käyttäjäasetusvirheen myötä on kuitenkin olemassa mahdollisuus, että tietoja on vähintään katseltu luvattomasti.

Järjestelmässä on ollut kyseisten vuosien aikana yhteensä 2106 kertamatkustajatunnuksilla tehtyä rekisteröitymistä, jotka on tehty 790 yksittäisen henkilön toimesta.

Paralympiakomitean tietosuojavastaavana toimiva Teemu Lakkasuo sanoo tietoturva-asioihin suhtauduttavan järjestössä vakavasti. Sekä valvontaa että henkilöstön osaamista kehitetään jatkossa entistä tarkemmin.

– Kyseessä on ollut inhimillinen ja tahaton virhe käyttäjäoikeuksien määrittelyssä silloin, kun M2-järjestelmä otettiin meillä käyttöön vuonna 2021. Olemme tapahtuneesta todella pahoillamme. Selvitämme parhaillamme M2-järjestelmän kanssa lokitietoja henkilötietosivujen avauksista, minkä jälkeen selvitämme jatkotoimenpiteet, Lakkasuo kertoo.

Jos olet havainnut henkilötietojesi väärinkäyttöä, toimi näin

Kyseisen käyttäjäoikeusvirheen vuoksi Paralympiakomitean M2-matkalaskujärjestelmän käyttäjillä on pahimmillaan riski joutua henkilötietojen tahallisen väärinkäytön kohteeksi esimerkiksi identiteettivarkauksissa. 

Vaikka riski tässä tapauksessa on suhteellisen pieni, henkilötunnuksen ja osoitetiedon yhdistelmällä voidaan yrittää tehdä petoksia, eli esimerkiksi ostoksia käyttäjien laskuun.

Jos olet ollut Paralympiakomitean M2-järjestelmän käyttäjä vuosina 2021–2025 ja olet havainnut omien henkilötietojesi väärinkäyttöä, toimi tietosuojavaltuutetun ohjeiden mukaisesti:

1. Tee rikosilmoitus poliisille poliisin verkkopalvelussa. Jo petoksen yritys voi olla rikos.
   
   
   1. Kerro rikosilmoitusta tehdessäsi Paralympiakomitean M2-matkalaskujärjestelmässä olleesta asetusvirheestä. Paralympiakomitea tekee tarvittaessa poliisin kanssa yhteistyötä asian selvittämiseksi.
      
      
2. Tutustu Rikosuhripäivystyksen verkkosivuihin, joilla on toimintaohjeita ja lisätietoja petoksista sekä identiteettivarkauksista.

Jos et ole havainnut henkilötietojesi väärinkäyttöä, tutustu lisätietoon henkilötietojen väärinkäyttötapausten tunnistamisesta sekä henkilötietojen lisäsuojaamisesta tarvittaessa:

Tietosuojavaltuutetun toimiston ohje: Jos joudut tietoturvaloukkauksen kohteeksi

Suomi.fi-opas: Henkilötietojani on viety tai vuotanut