Субботний день 24 октября 2020 года выдался дождливым, ветреным и довольно прохладным — впрочем, такую погоду можно назвать типичной для осеннего Хельсинки. Люди прятались от промозглой сырости в уютных кафе и ресторанах, пили горячий чай и глинтвейн, стараясь отдохнуть за выходные от насущных дел. Внезапно их мобильные телефоны — практически одновременно, с разницей в секунды — начали оживать, сигнализируя о пришедших по электронной почте сообщениях. Студенты, политики, учителя, врачи, водители, и даже безработные вглядывались в экраны с тревогой и ужасом. Эти люди никогда раньше не встречались и никогда не увидятся в реальности. У них не было ничего общего — кроме одного: несколько лет назад каждый из них зашёл в кабинет психотерапевта известной сети центров психологической помощи Vastaamo и закрыл за собой дверь. То, что они говорили за той дверью, должно было навсегда остаться там же. Но теперь неизвестный хакер утверждал: он располагает всеми записями этих сессий, включая имена, даты и самое главное — подробные признания пациентов. Двести евро в биткоинах — и похищенная информация не будет опубликована в общем доступе. На раздумья — двадцать четыре часа. Время пошло.

Кто-то решился сразу же позвонить в полицию. Кто-то смотрел на экран телефона в оцепенении и размышлял о том, что произойдёт, если все его сокровенные тайны выплывут наружу. Так началось то, что позже финские журналисты назовут крупнейшим киберпреступлением в истории страны. Тридцать три тысячи писем, разосланных высоким светловолосым пареньком, которого, как выяснит со временем полиция, зовут Юлиус Кивимяки, и которого вот уже несколько лет безуспешно разыскивал Интерпол. Этот человек сумел взломать сайт финской терапевтической компании, мечтавшей изменить подход к психологической помощи, но решившей при этом сэкономить на безопасности.

Сеанс психотерапии

Финляндия — одна из немногих стран, где государство компенсирует расходы на психическое здоровье граждан. Но «компенсировать расходы» не означает обеспечить доступность клинических психологов: очереди к специалистам в системе государственной медицины могут тянуться месяцами, и это в лучшем случае, иногда своего приёма можно прождать и год. В общем, спрос на психологическую помощь государство полностью удовлетворить не смогло, а он был и остаётся довольно-таки высоким. Частные клиники и кабинеты практикующих специалистов тоже подходят далеко не всем: и дорого, и доступны они не во всех городах. В этой нише и решил развернуть свой бизнес стартап под названием Vastaamo.

Компанию основали практикующий психотерапевт Нина Тапио и её сын, программист Вилле Тапио. Произошло это в 2008 году. Идея, которую изначально придумал Вилле, была довольно-таки смелой: превратить психологическую помощь в удобный сервис наподобие маркетплейса. Никаких долгих ожиданий или очередей, никаких направлений от участкового врача, никакого смущения при звонках в регистратуру. Пациент заходил на сайт, описывал свою проблему, и система в течение 24 часов сама подбирала ему подходящего специалиста, который давал ему развёрнутый ответ. Психологи могли самостоятельно регистрироваться на сайте Vastaamo, и после прохождения верификации получали возможность консультировать пациентов за вознаграждение. Иными словами, на начальном этапе фирма работала как телемедицинский сервис — в то время это было смелым экспериментом для консервативного сектора психического здоровья.

Сервис начал пользоваться спросом, база клиентов быстро росла, и Vastaamo вскоре стала субподрядчиком государственной системы здравоохранения. То есть, часть пациентов приходила через официальные каналы — немаловажную роль в финансовой модели компании играл финский институт социального страхования под названием Kela. Гражданам Финляндии в возрасте от 16 до 67 лет, имеющим медицинский полис, Kela компенсировала значительную часть стоимости сеансов реабилитационной психотерапии. Это означало, что Vastaamo могла работать с массовым пациентом — а не только с теми, кто был готов платить из своего кармана. Государственная субсидия сделала этот сервис общедоступным.

Онлайн-консультации, впрочем, оказались лишь началом. Многим клиентам было недостаточно терапии через интернет, и следующим шагом стало создание сети очных кабинетов, которые начали открываться не только в медицинских учреждениях, но и просто в местах с высокой «проходимостью» публики: например, в офисных центрах. При этом Вилле Тапио старался полностью оцифровать всё, что поддаётся оцифровке — записи на приём, выставление счетов, медицинскую документацию, карточки пациентов и назначения. Независимые терапевты, присоединявшиеся к платформе, освобождались от административной рутины: система брала на себя расписание, финансы и ведение медицинских записей, оставляя специалисту его основную функцию — работу с пациентами.

Компания росла как на дрожжах. К 2020 году Vastaamo открыла более двадцати центров по всей стране и работала с четырьмя сотнями сотрудников, из которых триста были психотерапевтами. Годовая выручка превысила 14 миллионов евро. Десятки тысяч пациентов доверяли Vastaamo самое сокровенное — свои проблемы, страхи, комплексы, сексуальные девиации.

За кулисами телемедицины

Для реализации своих наполеоновских планов Vastaamo нуждалась в электронной медицинской информационной системе, но Тапио не нашёл на рынке подходящего готового решения. Существующие продукты казались ему перегруженными ненужными функциями или разработанными для других медицинских специальностей. Поэтому весь софт для своего проекта он решил написать самостоятельно — с нуля. Полноценную версию программного комплекса он подготовил к 2012 году — одновременно с открытием первого очного кабинета в районе Малми в Хельсинки.

Вилле не был профессиональным разработчиком, он сам называл себя программистом-самоучкой, и в процессе создания новой платформы Тапио не привлекал внешних экспертов для проверки соответствия софта стандартам безопасности. Понимая, что объём задач слишком велик, Вилле вскоре нанял ещё двух программистов, но они работали на договорах подряда и по их словам, безопасность не считалась в компании приоритетом: акцент делался на разработке новых функций.

Программа Вилле Тапио крутилась на сервере наподобие CMS, интерфейс отображался в браузере, а все критичные записи, включая личные данные пациентов и информацию из медицинских карт, хранились в базе MySQL. Эта база данных содержала полные имена, домашние адреса, электронную почту, номера социального страхования клиентов, названия клиник, где пациенты проходили консультации, а также подробные записи психотерапевтов по каждому сеансу. Включая сведения о суицидальных мыслях, супружеских изменах, детских травмах, зависимостях, насилии в семье. Для терапевтов интерфейс выглядел удобно и современно: когда специалисты приходили на собеседование, им рассказывали, насколько система ускорит их работу. Никто не говорил им о том, что скрывается под капотом. На самом же деле платформа Vastaamo нарушала один из главных принципов кибербезопасности: данные не были анонимизированы и даже не шифровались. Единственным, что защищало исповеди и тайны пациентов от посторонних глаз, — это несколько файрволов и пароль при входе на сервер.

Горячий финский хакер

Алексантери Юлиус Томминпойка Кивимяки родился 22 августа 1997 года. Он вырос в Эспоо — западном пригороде Хельсинки. Семью этого молодого человека вполне можно отнести к финскому среднему классу: неплохой спокойный район, приличная школа, в общем, в этой биографии ничего не предвещало того, что приключится с ним спустя несколько лет.

Родители называли своего сына вторым именем — Юлиус. С компьютером он познакомился в трёхлетнем возрасте: близкие не запрещали мальчику проводить время за играми, лишь бы не хулиганил и не мешал старшим. Вскоре игры сменил интернет: Юлиус, как и многие его сверстники, проводил всё свободное время на форумах и в IRC-чатах, предпочитая ресурсы хакерской тематики. В скорее это сделалось его страстью и одержимостью: в конечном итоге из школы Юлиуса исключили за прогулы и неуспеваемость.

В 2008 году, как раз, когда семейство Тапио основало компанию Vastaamo, Кивимяки познакомился в сети с одним из основателей хакерской группы Hack the Planet и стал её активным участником. Hack the Planet — или просто HTP — была не безобидной командой энтузиастов, исследующих безопасность ради любопытства, а хорошо скоординированной структурой, специализировавшейся на массовых взломах корпоративных и государственных серверов. Участники HTP ломали веб-серверы через известные уязвимости, а к 2012 году Кивимяки под псевдонимом Ryan Cleary уже продавал доступ к DDoS-сервису по подписке, работающему на основе сети взломанных им серверов. В тот момент ему было пятнадцать лет.

Однажды Юлиус крепко поругался с другим участником HTP — американским подростком Блэром Стрейтером, за что их обоих выгнали из группировки (Кивимяки потом восстановили). Решив отомстить своему оппоненту, Юлиус выяснил его реальное имя и адрес, после чего принялся заказывать домой Стрейтеру пиццу и китайскую еду, а однажды перед его крыльцом самосвал выгрузил три тонны гравия. В доме Стрейтеров отключили электричество и интернет — Кивимяки от имени владельцев коттеджа позвонил провайдерам и сообщил о намерении разорвать договор. Затем он взломал аккаунт компании Tesla в Twitter* и разместил там пост с домашним адресом Стрейтеров и их телефоном, сообщив, что каждый, кто позвонит по этому номеру и лично явится по указанному адресу, получит бесплатный электромобиль. Но на этом Кивимяки не успокоился: он позвонил от имени Блэра Стрейтера в местную полицию и сообщил, что тот убил свою девушку, собирается прикончить родителей и взорвать весь квартал — после этого Стрейтер три недели просидел в местной кутузке. А его мать тем временем уволили с работы после того, как Кивимяки взломал её соцсети и разместил там антисемитские и расистские высказывания.

Временно расставшись с HTP, Юлиус примкнул к другой хакерской группировке — Lizard Squad. Под псевдонимами «zeekill» и «ryan» он участвовал в масштабных DDoS-атаках на игровые сервисы PlayStation Network и Xbox Live на Рождество 2014 года. Параллельно Кивимяки развлекался тем, что звонил в службы экстренной помощи с ложными сообщениями о заложниках, стрельбе и взрывчатке — на адреса трёх американских семей, вынуждая вооружённые группы захвата врываться в чужие дома. Одной из мишеней оказалась семья агента ФБР, расследовавшего деятельность его хакерской группы. Кроме того, используя похищенные в сети данные реального пассажира, он сообщил о бомбе на борту самолёта American Airlines, летевшего из Далласа в Сан-Диего — борт был перенаправлен в аэропорт Финикса, а ВВС США подняли два истребителя для сопровождения. Мишенью этой атаки был президент Sony Online Entertainment Джон Смедли, летевший тем рейсом: с ним Кивимяки поругался в Twitter*.

В 2014 году финская полиция задержала юного хакера. Кивимяки было предъявлено обвинение по 50 700 эпизодам уголовных преступлений в сфере компьютерных технологий и сопутствующих правонарушений. Список был чудовищным по объёму: взломы серверов по всему миру, финансовое мошенничество, управление ботнетом из более чем 50 000 заражённых машин, организация кибератак. Следователи также предъявили доказательства, что он покупал на похищенные данные кредитных карт предметы роскоши и использовал ворованные деньги, чтобы слетать на отдых в Мексику. Однако поскольку на момент совершения практически всех этих правонарушений Кивимяки был несовершеннолетним, суд назначил ему наказание в виде двух лет лишения свободы условно и отобрал ноутбук Acer. Кивимяки сделал правильные выводы: после приговора он сменил имя — из Юлиуса стал Алексантери — и немедленно уехал из Финляндии. В течение нескольких лет он наслаждался путешествиями: посетил Чехию, Украину, ОАЭ, затем осел в Лондоне, где снял для себя и подруги шикарные апартаменты. В Твиттере* Кивимяки не стесняясь называл себя «неприкасаемым богом хакеров». Казалось, на этом громкая история закончилась: безрассудный подросток получил условный срок, вырос, поумнел и исчез с радаров, причём правоохранительные органы думали примерно так же. Но они ошибались.

Самое громкое киберпреступление Финляндии

В 2020 году Кивимяки обратил внимание на набирающий популярность сервис Vastaamo. К этому моменту фирма Вилле Тапио уже нашла серьёзного инвестора: в мае 2019 года холдинговая компания PTK Midco, принадлежащая финскому фонду прямых инвестиций Intera Partners, приобрела 70% акций Vastaamo, сумма сделки составила около 9,5 миллионов евро. Это был сигнал рынку: психотерапевтический стартап превратился в серьёзный бизнес с профессиональными владельцами и амбициями на экспансию. Но технически Vastaamo всё ещё использовала написанный программистом-любителем Вилле Тапио код, который крутился на сервере, обслуживаемом несколькими внештатными админами.

Клиентов у Vastaamo было много и с каждым днём становилось всё больше, поэтому скрипты часто не справлялись с растущей нагрузкой. В период с 2017 по 2020 год написанная Тапио CMS испытывала регулярные сбои, в результате чего ИТ-персонал включил удалённый доступ к серверу базы данных, чтобы при необходимости админы могли восстанавливать её из дома в ночное время. По сути это означало, что к серверу MySQL с записями терапевтических сессий можно было подключиться из любой точки мира: он не проверял IP-адреса. Сотрудники также утверждали, что Тапио имел привычку вносить изменения в код платформы напрямую, без использования системы контроля версий и не вёл какой-либо вменяемой документации, что ещё сильнее усложняло их работу.

Когда Алексантери Кивимяки ради интереса принялся изучать архитектуру IT-платформы Vastaamo, он с удивлением обнаружил, что учётная запись суперпользователя root на MySQL-сервере использует пустой пароль: фактически, базу целиком мог скопировать и выгрузить любой желающий, которому был известен адрес этого сервера. Чем он незамедлительно и воспользовался. К тому моменту общедоступная учётка root на MySQL-сервере компании Vastaamo была открыта уже несколько лет, как минимум с 26 ноября 2017 года, пока в один октябрьский день 2020-го за это не заплатили тридцать три тысячи её пациентов.

Самое любопытное, что этот взлом, который и взломом-то назвать сложно, был далеко не первым. Более позднее расследование показало: на момент продажи контрольного пакета акций Vastaamo компании PTK Midco Тапио уже знал то, чего не знал покупатель: как минимум в двух отдельных случаях — в декабре 2018 года и в марте 2019-го — неустановленный злоумышленник уже получал несанкционированный доступ к базе данных сервиса. Судя по всему, Vastaamo должна была понимать, что уже в марте 2019 года все данные пациентов были скопированы и могли оказаться у стороннего злоумышленника. Однако Тапио не сообщил об этих инцидентах ни надзорному органу, ни пострадавшим пациентам. Intera Partners, узнав об этом уже после скандала, заявила: «если бы у нас была эта информация, никакой сделки бы не случилось».

Получив копию базы данных, Кивимяки связался с Vastaamo и потребовал у Тапио выкуп за нераспространение информации, но компания отказалась платить. Тогда хакер разослал по электронной почте письма всем клиентам сервиса. Сообщения гласили: «Любая цена, которую вам придётся заплатить, будет небольшой в сравнении с ущербом, который будет нанесён вашей личной жизни, если мы опубликуем эту информацию в интернете». Многие поспешили выполнить требования вымогателя, но у некоторых пациентов не было такой возможности: в конечном итоге в полицию поступили заявления от 24 000 пострадавших из 33 000 человек, которые получили сообщения от Кивимяки. Вскоре хакер реализовал свои угрозы: слитую базу он начал частями опубликовать в даркнете, по сто записей в сутки, а оттуда она расползлась по многочисленным форумам и сайтам в интернете.

Расплата

Кивимяки был умён — но недостаточно осторожен. Роковая оплошность произошла в момент, который должен был стать финальной точкой: когда написанный им скрипт автоматической публикации сотни записей из базы Vastaamo в сутки сработал не так, как задумывалось, и в открытый доступ ушёл весь архив целиком. Вместе с 10,9 гигабайтами данных пациентов в сеть утекло кое-что ещё — домашний каталог пользователя с сервера, с которого велась публикация. Там было очень много интересного: приватная SSH-папка пользователя, история подключений, которую можно было внимательно изучить. Среди тех, кто успел скачать архив до его удаления, оказался Антти Куритту — руководитель отдела в Nixu Corporation и бывший следственный работник. В 2013 году Куритту уже расследовал дело, связанное с использованием Кивимяки ботнета Zbot в рамках деятельности хакерской группы HTP.

Домашний каталог содержал историю команд, запускавшихся с принадлежавшего хакеру сервера, и данные о доменах, к которым он имел доступ. Ниточка от архива вела к виртуальному серверу в дата-центре в муниципалитете Туусула к югу от Хельсинки. Следователи обнаружили этот сервер, затем нашли ещё два, связанных с первым. Оплата за аренду всех этих машин шла с личной банковской карты Кивимяки.

Затем криминалисты из Национального бюро расследований Финляндии начали отслеживать транзакции, которые переводили вымогателю бывшие клиенты Vastaamo. Совместно с криптовалютной биржей Binance они проследили путь денежных переводов: Кивимяки конвертировал биткоин в Monero, затем обратно в биткоин, пытаясь запутать следы, но это не помогло. В октябре 2022 года финские власти предъявили Кивимяки заочные обвинения и выдали европейский ордер на арест, объявив его в розыск. Но парень как сквозь землю провалился: отыскать и задержать хакера не получалось, никто не знал, где его искать.

3 февраля 2023 года, в 7:20 утра. Полицейский патруль прибыл на вызов в жилой дом в пригороде Парижа Курбевуа на левом берегу Сены, у подножия стеклянных башен Дефанс. Причина вызова была банальной: ссора в квартире после ночного клуба.

Полицейских впустила молодая женщина — хозяйка съёмной квартиры. Внутри, на диване, мирно спал мужчина, явно не вполне трезвый после долгой и бурной ночи. Когда его разбудили и попросили предъявить документы, блондин ростом около 193 сантиметров с зелёными глазами протянул паспорт гражданина Румынии. Полицейские усомнились: ни внешность, ни акцент иностранца не вязались с типичным внешним видом румынских подданных. Они сверили имя в документе с базой разыскиваемых Европолом лиц — и достали наручники: это имя значилось как известный псевдоним финского киберпреступника Алексантери Кивимяки. Блондин был арестован на месте. 24 февраля 2023 года его экстрадировали в Финляндию: так «неприкасаемый бог хакеров» попал за решётку из-за пьяной ссоры с подругой, помешавшей отдыхать соседям.

Суд начался в ноябре 2023 года, обвинительное заключение насчитывало 2200 страниц. Кивимяки держался невозмутимо: давал показания спокойно, иногда позволял себе шутки, но свою вину он категорически отрицал. Защита упирала на то, что динамический IP-адрес, с которого злоумышленник скачал базу данных Vastaamо, мог использоваться несколькими пользователями одного провайдера. Суд не нашёл этот аргумент убедительным и констатировал, что все имеющиеся доказательства указывали на Кивимяки как на исполнителя преступлений, тогда как ни одного аргумента в пользу его невиновности представлено не было.

В апреле 2024 года судья огласил приговор: 9 598 эпизодов грубого нарушения неприкосновенности частной жизни, 21 316 эпизодов покушения на вымогательство и 20 эпизодов отягчённого вымогательства суд оценил в шесть лет и три месяца лишения свободы. Адвокаты, представлявшие интересы потерпевших, утверждали, что речь идёт не только о вымогательстве, но и о более серьёзном преступлении: «в ряде случаев жертва лишила себя жизни после того, как стало известно об утечке данных. Некоторые покончили с собой в ходе уголовного расследования. Есть и те, кто говорил, что были очень близки к этому — настолько всё это оказалось для них невыносимым».

Vastaamo не пережила скандала: в январе 2021 года компания подала на банкротство. Активы на этот момент составляли 2,2 миллиона евро, клиентские договоры перешли к другой компании, Verve, а пострадавшие получили из общей конкурсной массы всего лишь по 90 евро компенсации. После этого инцидента, который журналисты окрестили «самым громким киберпреступлением в истории Финляндии», правительство приняло экстренный пакет мер: в частности, было упрощено законодательство, позволяющее менять номер социального страхования в тех случаях, когда это необходимо для предотвращения мошенничества с персональными данными. Все частные медицинские компании обязали перейти на государственную платформу Kanta, а уже после банкротства Vastaamo финский регулятор по защите данных выписал этой фирме штраф в размере 608 000 евро — 4,16% от оборота компании за 2020 год, что стало крупнейшим штрафом в истории применения GDPR в Финляндии. Регулятор констатировал, что Vastaamo не внедрила даже самых базовых защитных мер, а её бездействие в части уведомления пострадавших было умышленным.

В сентябре 2025 года Алексантери Кивимяки по решению Апелляционного суда города Хельсинки досрочно выпустили из тюрьмы, в которой он отсидел всего лишь полтора года. А слитые им данные пациентов Vastaamo по-прежнему доступны в даркнете.

*Соцсеть X (бывшая Twitter) заблокирована на территории России по требованию Генпрокуратуры.

© 2026 ООО «МТ ФИНАНС»