Patiënten afgeperst met gevoelige privégegevens: 'Geld verdiend aan mijn trauma'
Een 27-jarige hacker uit Finland is veroordeeld tot ruim zes jaar celstraf voor het afpersen van mensen met psychische problemen. Hij had gespreksverslagen en privégegevens gestolen van een Fins behandelcentrum waarmee hij patiënten rechtstreeks benaderde. Als er niet binnen 24 uur betaald zou worden, zou hij deze uiterst gevoelige gegevens online verspreiden.
Tiina Parikka vertelt aan de BBC over het moment dat ze werd benaderd door de toen nog anonieme hacker. Het was een zaterdagavond in 2020 toen ze een mailtje kreeg op vriendelijke, haast verontschuldigende toon, waarin haar werd uitgelegd dat haar privégegevens waren gestolen bij een behandelcentrum voor psychotherapie. Het centrum had nagelaten haar daarover te informeren, schreef de anonieme afzender. Hij wilde 200 euro zien, anders zou hij twee jaar aan zeer persoonlijke gespreksverslagen openbaren.
Betalen had geen zin
"Een verstikkend gevoel", omschrijft Parikka de eerste keer dat ze de mail onder ogen kreeg. "Iemand probeerde geld te verdienen aan mijn trauma."
Parikka was niet het enige slachtoffer van ransom_man, zoals de hacker zich noemde. De gegevens van in totaal 33.000 patiënten waren buitengemaakt, onder wie kinderen, van wie er vele duizenden een soortgelijke mail kregen. Zeker twintig mensen hebben betaald, maar dat had kennelijk geen zin. De gegevens waren al verspreid op het darkweb, het verborgen deel van het internet. Daar staan ze tot op de dag van vandaag.
Het duurde niet lang voordat Julius Kivimäki in beeld kwam bij de politie. Hij was al vaker veroordeeld voor computercriminaliteit en toonde zich daarover niet bepaald bescheiden. Zo verscheen hij eind 2014 op de Britse nationale televisie om te vertellen over het lamleggen van zowel PlayStation Network als Xbox Live. Samen met het internationale hackerscollectief Lizard Squad had hij tijdens kerst een DDoS-aanval uitgevoerd op die gamersplatformen. Hij was toen 17 jaar.
Internationale opsporingslijst
Alleen was Kivimäki voor de Finse autoriteiten nergens te vinden. Hij kwam terecht op de internationale opsporingslijst van Interpol, tot hij vorig jaar februari na twee jaar werd gelokaliseerd. Kivimaki woonde onder een valse identiteit in de Franse hoofdstad Parijs.
Frankrijk leverde hem uit aan Finland, waar hij deze week terechtstond voor het digitaal binnendringen bij het psychologisch behandelcentrum. Het bewijs tegen hem was overweldigend, schrijft de BBC. Hij kreeg zes jaar en drie maanden celstraf opgelegd.
Hoeveel geld hij heeft verdiend, valt door de Finse politie niet te bewijzen. Kivimaki beweert dat hij de gegevens om toegang te krijgen tot zijn crytovaluta is vergeten.
Het gehackte behandelcentrum bestaat intussen niet meer, de eigenaar kreeg een voorwaardelijke straf opgelegd voor het niet adequaat beschermen van de patiëntgegevens.