{"id":125,"date":"2026-06-20T04:52:52","date_gmt":"2026-06-20T04:52:52","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/20\/24-miljardia-tunnusta-tietovuoto-2026\/"},"modified":"2026-06-20T04:54:17","modified_gmt":"2026-06-20T04:54:17","slug":"24-miljardia-tunnusta-tietovuoto-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/24-miljardia-tunnusta-tietovuoto-2026\/","title":{"rendered":"24 Miljardia Tunnusta Verkossa: 8,3 TB Tietovuoto [2026]"},"content":{"rendered":"\n

Cybernews-tutkijat paljastivat 17. kes\u00e4kuuta 2026 julkisesti avoimen Elasticsearch-klusterin, joka sis\u00e4lsi 24 miljardia varastettua kirjautumistietoa<\/strong> \u2013 8,3 teratavun kokonaisuuden 36 eri l\u00e4hteest\u00e4. Tietokanta koostui Telegram-kanavien vuodoista, vanhoista rikkomuskokoelmista, infostealers-haittaohjelmien lokeista ja suoraan live-palvelimilta viedyist\u00e4 aineistoista. Ennen kuin tietokanta suljettiin verkosta, se oli avoimesti saatavilla ilman salasanaa tai autentikointia.<\/p>\n\n\n\n

L\u00f6yd\u00f6s on vuoden 2026 laajin tunnusvuoto ja nostaa uudelleen esiin infostealer-haittaohjelmien raivon: varastettu tunnus on myyt\u00e4v\u00e4n\u00e4 minuuteissa murtautumisen j\u00e4lkeen, ja credential stuffing -hy\u00f6kk\u00e4ykset k\u00e4ynnistyv\u00e4t automaattisesti tuntien sis\u00e4ll\u00e4. Suomalaisille ja pohjoismaalaisille k\u00e4ytt\u00e4jille viesti on suora \u2013 24 miljardia kirjausta sis\u00e4lt\u00e4\u00e4 todenn\u00e4k\u00f6isesti my\u00f6s suomalaisia tilej\u00e4.<\/p>\n\n\n\n

L\u00f6yd\u00f6s: 24 miljardia tunnusta julkisessa Elasticsearch-klusterissa<\/h2>\n\n\n\n

Cybernews-tutkimustiimi havaitsee jatkuvasti julkisesti avoimia tietokantoja osana rutiinimaista uhkaseurantaansa. Kes\u00e4kuun 17. p\u00e4iv\u00e4 2026 he t\u00f6rm\u00e4siv\u00e4t Elasticsearch-klusteriin, jonka sis\u00e4lt\u00f6 ylitti kaikki aiemmat l\u00f6yd\u00f6t: 8,3 teratavua raakadataa<\/strong>, j\u00e4rjestettyn\u00e4 24 miljardin kirjautumistietueen kokoelmaksi. Tietokanta oli t\u00e4ysin julkinen \u2013 mit\u00e4\u00e4n p\u00e4\u00e4syoikeuksien hallintaa ei ollut konfiguroitu.<\/p>\n\n\n\n

Elasticsearch on avoimen l\u00e4hdekoodin hakumoottori, jota k\u00e4ytet\u00e4\u00e4n laajalti suurten datam\u00e4\u00e4rien indeksointiin ja hakuun. V\u00e4\u00e4rin konfiguroituna se altistaa koko sis\u00e4lt\u00f6ns\u00e4 kenelle tahansa, joka osaa etsi\u00e4 verkosta avoimia porteja. Shodan- ja Censys-hakukoneet indeksoivat t\u00e4llaisia avoimia instansseja automaattisesti, mik\u00e4 tarkoittaa, ett\u00e4 kyberrikolliset l\u00f6yt\u00e4v\u00e4t ne usein ennen kuin omistajat edes huomaavat ongelman.<\/p>\n\n\n\n

Malwarebytes raportoi l\u00f6yd\u00f6st\u00e4 samana p\u00e4iv\u00e4n\u00e4 ja suositteli kaikkia k\u00e4ytt\u00e4ji\u00e4 tarkistamaan tunnus- ja salasanakombinationsa v\u00e4litt\u00f6m\u00e4sti. Vaikka tietokanta otettiin pian offline-tilaan, sen sis\u00e4lt\u00f6 oli ehtinyt levit\u00e4 \u2013 osa aineistosta kiert\u00e4\u00e4 jo kyberrikollisten markkinapaikoilla ja Telegram-kanavilla. Tietokanta l\u00f6ydettiin vuosip\u00e4iv\u00e4n\u00e4 kes\u00e4kuun 2025 16 miljardin kirjauksen vastaavalle l\u00f6yd\u00f6lle, mik\u00e4 osoittaa, ett\u00e4 credential-aggregaattorit operoivat yh\u00e4 laajemmassa mittakaavassa.<\/p>\n\n\n\n

Mist\u00e4 36 l\u00e4hdett\u00e4 koostuvat? Telegramista live-palvelimiin<\/h2>\n\n\n\n

Tietovuodon 36 l\u00e4hdett\u00e4 voidaan jakaa nelj\u00e4\u00e4n p\u00e4\u00e4kategoriaan. Telegram-kanavat<\/strong> ovat nousseet ensisijaiseksi jakelualustaksi varastetuille tunnuksille: kyberrikolliset myyv\u00e4t ja jakavat infostealer-lokeja kymmeniss\u00e4 suljetuissa ja puolijulkisissa kanavissa. Osa kes\u00e4kuun 2026 vuodon aineistosta on per\u00e4isin juuri n\u00e4ist\u00e4 kanavista, joista jotkut l\u00e4hett\u00e4v\u00e4t uusia lokipaketteja p\u00e4ivitt\u00e4in.<\/p>\n\n\n\n

Aiempien rikkomuskokoelmien<\/strong> uudelleenpakkaukset muodostavat toisen merkitt\u00e4v\u00e4n osan. N\u00e4m\u00e4 ovat satoja aiemmin vuotaneita tietokantoja \u2013 Facebook 2019, LinkedIn 2021, Twitch 2021 \u2013 jotka on niputettu uudeksi kokonaisuudeksi lis\u00e4ten k\u00e4ytett\u00e4vyytt\u00e4 credential stuffing -hy\u00f6kk\u00e4yksiss\u00e4. Infostealer-haittaohjelmien lokit<\/strong> ovat tuorein ja vaarallisin osa: ne sis\u00e4lt\u00e4v\u00e4t URL-osoite, k\u00e4ytt\u00e4j\u00e4tunnus ja salasana -kolmikoita, jotka haittaohjelma on varastanut suoraan uhrin selaimesta tai j\u00e4rjestelm\u00e4st\u00e4 viime kuukausina.<\/p>\n\n\n\n

Vaarallisin kategoria on kuitenkin suoraan live-palvelimilta viedyt aineistot<\/strong>: tietokannat, jotka on kopioitu yritysten huonosti suojatuista j\u00e4rjestelmist\u00e4 reaaliajassa. Cybernewsin mukaan osa 24 miljardin kirjauksen kokoelmasta on per\u00e4isin juuri t\u00e4llaisista l\u00e4hteist\u00e4 \u2013 mik\u00e4 tarkoittaa, ett\u00e4 kyse ei ole pelk\u00e4st\u00e4\u00e4n vanhojen vuotojen kierr\u00e4tt\u00e4misest\u00e4, vaan osin tuoreesta, k\u00e4ytt\u00f6kelpoisesta datasta, joka on ker\u00e4tty t\u00e4n\u00e4 vuonna.<\/p>\n\n\n\n

Infostealers: n\u00e4kym\u00e4t\u00f6n varas laitteellasi<\/h2>\n\n\n\n

Infostealers-haittaohjelmat ovat erikoistuneet yhteen teht\u00e4v\u00e4\u00e4n: varastamaan kirjautumistietoja mahdollisimman tehokkaasti. Ne levi\u00e4v\u00e4t tyypillisesti haitallisten mainosten (malvertising), v\u00e4\u00e4rennettyjen selainp\u00e4ivitysten, yksinkertaisella klikkauksella asennettavien ohjelmistojen tai tietojenkalastelus\u00e4hk\u00f6postien liitteiden kautta. Kun haittaohjelma on p\u00e4\u00e4ssyt laitteeseen, se k\u00e4y l\u00e4pi tallennetut selainten salasanat, istuntoev\u00e4stel\u00e4tk\u00e4t, muistissa olevat tunnukset ja mahdolliset salasanahallintasovellusten tietokannat.<\/p>\n\n\n\n

Tunnetuimpia infostealer-perheit\u00e4 ovat RedLine Stealer<\/strong>, Raccoon Stealer<\/strong>, Vidar<\/strong> ja LummaC2<\/strong>. Kaikki nelj\u00e4 ovat saatavilla Malware-as-a-Service -mallilla, mik\u00e4 tarkoittaa, ett\u00e4 teknisesti taitamaton rikollinen voi vuokrata haittaohjelman k\u00e4ytt\u00f6oikeuden muutamalla sadalla dollarilla kuukaudessa. Varastetut tunnukset myyd\u00e4\u00e4n sitten infostealer-lokeina, joissa tieto on n\u00e4tisti URL, k\u00e4ytt\u00e4j\u00e4tunnus ja salasana -muodossa, valmiina credential stuffing -automaatioon.<\/p>\n\n\n\n

Vuoden 2025 aikana Flashpoint arvioi, ett\u00e4 infostealer-haittaohjelmat varastivat yli 1,8 miljardia kirjautumistietoa 5,8 miljoonalta laitteelta<\/strong> \u2013 800 prosentin kasvu edelt\u00e4viin vuosiin verrattuna. DeepStriken joulukuun 2025 analyysin mukaan varastetut salasanat ja istuntoev\u00e4steet n\u00e4kyv\u00e4t nyt 86 prosentissa tietomurroista<\/strong>. T\u00e4m\u00e4 tekee infostealerist\u00e4 yksitt\u00e4isesti tehokkaimman sis\u00e4\u00e4np\u00e4\u00e4syvektorin yrityksiin ja palveluihin.<\/p>\n\n\n\n

Historiallinen vertailu: megavuotojen aikajana<\/h2>\n\n\n\n

24 miljardin kirjauksen vuoto ei synny tyhji\u00f6ss\u00e4. Viime vuodet ovat tuottaneet jatkuvan sarjan enn\u00e4tyksellisi\u00e4 credential-kokoelmia, joista jokainen on kasvattanut kyberrikollisten arsenalia. Alla oleva taulukko asettaa kes\u00e4kuun 2026 l\u00f6yd\u00f6n historialliseen kontekstiin.<\/p>\n\n\n\n

Vuoto \/ Kokoelma<\/th>Aika<\/th>Tietuem\u00e4\u00e4r\u00e4<\/th>L\u00e4hde \/ L\u00f6yt\u00e4j\u00e4<\/th>Uhkatyyppi<\/th><\/tr><\/thead>
24 miljardin tunnusdump<\/td>Kes\u00e4kuu 2026<\/td>24 miljardia<\/td>Cybernews \/ Malwarebytes<\/td>Infostealer-lokit, live-palvelimet, Telegram<\/td><\/tr>
16 miljardin kirjautumistietovuoto<\/td>Kes\u00e4kuu 2025<\/td>16 miljardia<\/td>Cybernews (Vilius Petkauskas)<\/td>30 tietokantaa, infostealerit, credential stuffing<\/td><\/tr>
MOAB (Mother of All Breaches)<\/td>Tammikuu 2024<\/td>26 miljardia<\/td>Cybernews<\/td>Kokoelma vanhoista vuodoista<\/td><\/tr>
RockYou2024<\/td>Kes\u00e4 2024<\/td>l\u00e4hes 10 miljardia (uniikit)<\/td>Hakkeriforumi<\/td>Salasanakokoelma, brute force<\/td><\/tr>
COMB (Compilation of Many Breaches)<\/td>Helmikuu 2021<\/td>3,2 miljardia<\/td>Hakkeriforumi<\/td>Vanhoja rikkomuksia niputtuna<\/td><\/tr>
Collection #1<\/td>Tammikuu 2019<\/td>773 miljoonaa<\/td>Have I Been Pwned<\/td>Rikkomuskokoelma, credential stuffing<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Taulukosta k\u00e4y selv\u00e4sti ilmi, ett\u00e4 megavuotoja ilmestyy yh\u00e4 tihe\u00e4mmin ja niiden koko kasvaa nopeasti. MOAB 2024 on numerollisesti suurin yksitt\u00e4inen kokoelma 26 miljardilla kirjauksella, mutta kes\u00e4kuun 2026 vuoto erottuu siin\u00e4, ett\u00e4 se sis\u00e4lt\u00e4\u00e4 tuoreita, live-palvelimilta per\u00e4isin olevia tietoja<\/strong> \u2013 ei pelk\u00e4st\u00e4\u00e4n kierr\u00e4tetty\u00e4 vanhaa dataa. T\u00e4m\u00e4 nostaa t\u00e4m\u00e4n vuodon k\u00e4yt\u00e4nn\u00f6n vaarallisuuden paljon korkeammalle kuin pelkk\u00e4 numerollinen vertailu antaisi ymm\u00e4rt\u00e4\u00e4.<\/p>\n\n\n\n

Mik\u00e4 tieto vuoti? URL, k\u00e4ytt\u00e4j\u00e4tunnus, salasana -rakenne<\/h2>\n\n\n\n

Cybernewsin tutkijat havaitsivat, ett\u00e4 24 miljardin tietueen kokoelma noudattaa infostealer-lokeille tyypillist\u00e4 rakennetta: URL-osoite, k\u00e4ytt\u00e4j\u00e4tunnus ja salasana<\/strong> selke\u00e4ss\u00e4 tekstitiedostomuodossa. T\u00e4m\u00e4 rakenne on credential stuffing -automaation kannalta ideaalinen: hy\u00f6kk\u00e4\u00e4j\u00e4 sy\u00f6tt\u00e4\u00e4 kolmikot bottiverkkoon, joka testaa ne automaattisesti tuhansille eri palveluille.<\/p>\n\n\n\n

Kirjaukset kattavat k\u00e4yt\u00e4nn\u00f6ss\u00e4 kaikki verkkopalveluiden kategoriat: s\u00e4hk\u00f6postipalvelut kuten Gmail ja Outlook, sosiaalinen media kuten Facebook, Instagram ja X (Twitter), kehitt\u00e4j\u00e4alustat kuten GitHub ja GitLab, VPN-palvelut, verkkokaupat ja pankkipalvelut. Erityisen vaarallisia ovat yritysten sis\u00e4isi\u00e4 j\u00e4rjestelmi\u00e4 koskevat kirjaukset<\/strong>: toimialuetunnukset, VPN-tunnukset ja pilvipalvelutunnukset, sill\u00e4 n\u00e4m\u00e4 mahdollistavat suoran p\u00e4\u00e4syn organisaation verkkoihin.<\/p>\n\n\n\n

Osa kirjauksista sis\u00e4lt\u00e4\u00e4 my\u00f6s istuntoev\u00e4steit\u00e4 (session cookies)<\/strong>, jotka ovat viel\u00e4kin arvokkaampia kuin pelk\u00e4t salasanat: istuntoev\u00e4steen avulla hy\u00f6kk\u00e4\u00e4j\u00e4 voi kirjautua tilille ilman salasanaa, eik\u00e4 kaksivaiheinen tunnistautuminenkaan est\u00e4 t\u00e4t\u00e4. T\u00e4m\u00e4 on syy, miksi pelkk\u00e4 salasanan vaihtaminen ei aina riit\u00e4 \u2013 kaikki aktiiviset istunnot on kirjauduttava ulos ep\u00e4ilytt\u00e4viss\u00e4 tilanteissa. Kes\u00e4kuun 2025 Cybernewsin vastaavassa l\u00f6yd\u00f6ss\u00e4 tutkija Vilius Petkauskas<\/strong> vahvisti, ett\u00e4 data tarjosi p\u00e4\u00e4syn “k\u00e4yt\u00e4nn\u00f6ss\u00e4 kaikkiin kuviteltavissa oleviin verkkopalveluihin”.<\/p>\n\n\n\n

Suomalaiset uhrina: miksi Pohjoismaat eiv\u00e4t ole turvassa<\/h2>\n\n\n\n

Suomalaisten k\u00e4ytt\u00e4jien ja yritysten ei pid\u00e4 olettaa, ett\u00e4 24 miljardin kirjauksen kokoelma on heille et\u00e4inen ongelma. Cybernewsin ja Traficomin aiemmat analyysit osoittavat, ett\u00e4 pohjoismaalaiset kirjautumistiedot l\u00f6ytyv\u00e4t s\u00e4\u00e4nn\u00f6llisesti suurista credential-kokoelmista. Suomen kyberturvallisuuskeskus (NCSC-FI) on raportoinut toistuvasti siit\u00e4, miten varastettuja suomalaisia tunnuksia hy\u00f6dynnet\u00e4\u00e4n my\u00f6hemmiss\u00e4 hy\u00f6kk\u00e4yksiss\u00e4 suomalaisia yrityksi\u00e4 vastaan.<\/p>\n\n\n\n

Suomi on erityisen kiinnostava kohde useista syist\u00e4. Korkea digitalisaatioaste, laajalle levinnyt et\u00e4ty\u00f6 ja pilvipalveluiden intensiivinen k\u00e4ytt\u00f6 tarkoittavat, ett\u00e4 yksitt\u00e4isen suomalaisen k\u00e4ytt\u00e4j\u00e4n tili saattaa avata p\u00e4\u00e4syn useisiin yritysj\u00e4rjestelmiin. Lis\u00e4ksi suomalaisyritysten T&K-tieto, puolustus- ja teknologiasektori sek\u00e4 kriittinen infrastruktuuri ovat Supon vuoden 2026 katsauksen mukaan ven\u00e4l\u00e4isten ja kiinalaisten valtiollisten toimijoiden aktiivisen tiedustelun kohteena \u2013 ja infostealer on yksi yleisimmist\u00e4 keinoista p\u00e4\u00e4st\u00e4 n\u00e4ihin j\u00e4rjestelmiin.<\/p>\n\n\n\n

Mordor Intelligencen vuoden 2026 arvion mukaan Suomen kyberturvallisuusmarkkina on 369,77 miljoonan dollarin<\/strong> arvoinen ja kasvaa 6,92 prosentin vuotuisella kasvuvauhdilla<\/strong> kohti 516,77 miljoonaa dollaria vuoteen 2031 menness\u00e4. Pienille ja keskisuurille yrityksille suunnattu kyberturvallisuus kasvaa nopeimmin, 7,87 prosentin kasvuvauhdilla<\/strong>, osittain juuri NIS2-direktiivin laajennettujen velvoitteiden ja credential-vuotojen aiheuttaman paineistuksen takia.<\/p>\n\n\n\n

Asiantuntijan\u00e4kemykset: tutkijoiden arviot megavuodosta<\/h2>\n\n\n\n

Cybernews kommentoi 24 miljardin kirjauksen kokoelmaa selkein sanoin. Tutkimustiimi totesi l\u00f6yd\u00f6n olevan “muistutus siit\u00e4, ett\u00e4 henkil\u00f6kohtaiset tiedot tietomurroista, tietojenkalasteluista ja infostealer-tartunnoista jatkavat kiertoaan verkossa”<\/strong> \u2013 vuosia sen j\u00e4lkeen, kun alkuper\u00e4inen rikkomus on tapahtunut.<\/p>\n\n\n\n

Kun Cybernews raportoi kes\u00e4kuussa 2025 vastaavasta 16 miljardin kirjauksen l\u00f6yd\u00f6st\u00e4, tutkijat olivat suorasanaisempia. Vilius Petkauskas Cybernewsist\u00e4<\/strong> kuvasi tilannetta: “T\u00e4m\u00e4 ei ole vain vuoto \u2013 se on massahyv\u00e4ksik\u00e4yt\u00f6n k\u00e4sikirja. Yli 16 miljardin kirjautumistietueen paljastuminen antaa kyberrikollisille ennenn\u00e4kem\u00e4tt\u00f6m\u00e4n p\u00e4\u00e4syn henkil\u00f6kohtaisiin tunnuksiin, joita voidaan k\u00e4ytt\u00e4\u00e4 tilien kaappaukseen, identiteettivarkauksiin ja eritt\u00e4in kohdennettuihin tietojenkalasteluihin.”<\/em> Kes\u00e4kuun 2026 l\u00f6yd\u00f6n voidaan katsoa jatkavan samaa trendi\u00e4 entist\u00e4 laajemmassa mittakaavassa.<\/p>\n\n\n\n

F5-tietoturvayhti\u00f6n<\/strong> analyytikot totesivat 16 miljardin kirjauksen l\u00f6yd\u00f6n yhteydess\u00e4, ett\u00e4 “infostealer-pohjaisten vuotojen mittakaava edellytt\u00e4\u00e4 bot-suojauksen t\u00e4ydellist\u00e4 uudelleenajattelua”<\/em>. F5:n mukaan credential stuffing -hy\u00f6kk\u00e4ykset ovat tehokkaampia kuin koskaan, koska tuoreet infostealer-lokit sis\u00e4lt\u00e4v\u00e4t toimivia tunnuksia \u2013 eiv\u00e4t vain vuosia vanhoja salasanoja.<\/p>\n\n\n\n

Kriittisempi n\u00e4k\u00f6kulma tulee Hudson Rockista<\/strong>, jonka analyytikko arvioi, ett\u00e4 osa megavuodoista sis\u00e4lt\u00e4\u00e4 “kierr\u00e4tetty\u00e4, vanhentunutta tai mahdollisesti v\u00e4\u00e4rennetty\u00e4 dataa”<\/em>. Hudson Rockin laskelman mukaan 16 miljardin kirjauksen kokoelma olisi vaatinut 320 miljoonan tartunnan saaneen laitteen, mik\u00e4 ylitt\u00e4isi realistiset infostealer-levinneisyysluvut. Kes\u00e4kuun 2026 vuodon kohdalla keskeinen ero on kuitenkin live-palvelimilta per\u00e4isin olevat aineistot, jotka viittaavat tuoreempaan ja k\u00e4ytt\u00f6kelpoisempaan dataan.<\/p>\n\n\n\n

UConn Todayssa yhdysvaltalaiset kyberturvallisuustutkijat luonnehtivat vastaavia l\u00f6yd\u00f6ksi\u00e4 “massarikollisuuden k\u00e4sikirjaksi”<\/strong>: kun 24 miljardia kirjausta on saatavilla, hy\u00f6kk\u00e4\u00e4j\u00e4t voivat testata kirjautumisia automaattisesti l\u00e4hes mihin tahansa verkkopalveluun, mittakaavassa joka ei olisi mahdollista manuaalisesti.<\/p>\n\n\n\n

Markkinavaikutus: kyberturvallisuusliiketoiminta reagoi<\/h2>\n\n\n\n

Jokainen megavuoto kiihdytt\u00e4\u00e4 markkinakehityst\u00e4: yritykset investoivat enemm\u00e4n tunnistamisen tarkistamiseen, salasanahallintaan, monivaiheiseen tunnistautumiseen ja bottisuojaukseen. Alla oleva taulukko esitt\u00e4\u00e4 keskeisimm\u00e4t kyberturvallisuusmarkkinan segmentit Suomessa ja niiden kasvuennusteet.<\/p>\n\n\n\n

Markkina-alue<\/th>Suomi 2026 (USD)<\/th>Suomi 2031 ennuste (USD)<\/th>CAGR<\/th>Kasvun ajuri<\/th><\/tr><\/thead>
Kyberturvallisuus yhteens\u00e4<\/td>369,77 milj.<\/td>516,77 milj.<\/td>6,92 %<\/td>NIS2, tietovuodot, digitalisaatio<\/td><\/tr>
PK-yrityssektori<\/td>~80 milj. (arvio)<\/td>~118 milj. (arvio)<\/td>7,87 %<\/td>NIS2-velvoitteet, infostealer-uhkat<\/td><\/tr>
Identiteetin hallinta (IAM)<\/td>kasvava<\/td>kasvava<\/td>>8 % (alan arvio)<\/td>Credential-vuodot, MFA-pakotteet<\/td><\/tr>
Bottisuojaus \/ Credential monitoring<\/td>kasvava<\/td>kasvava<\/td>>10 % (alan arvio)<\/td>Credential stuffing -hy\u00f6kk\u00e4ykset<\/td><\/tr>
Kyberbudjetti (valtion lis\u00e4panostus)<\/td>4,7 milj. EUR\/v.<\/td>jatkuva<\/td>pysyv\u00e4<\/td>NIS2, Hy\u00f6ky ja Havaro -laajennukset<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Suomen hallitus vahvisti tammikuussa 2026 pysyv\u00e4n 4,7 miljoonan euron vuotuisen kyberturvallisuuslis\u00e4yksen<\/strong>, joka laajentaa Hy\u00f6ky- ja Havaro-palveluita tuhansille NIS2-s\u00e4\u00e4ntelyn alaisille toimijoille. T\u00e4m\u00e4 investointi kuvastaa tunnustusta siit\u00e4, ett\u00e4 credential-vuodot ja infostealers ovat nyt keskeinen osa uhkakuvaa, johon on vastattava rakenteellisesti \u2013 ei vain reaktiivisesti.<\/p>\n\n\n\n

Credential stuffing: kuinka varastetut tunnukset muuttuvat aseeksi<\/h2>\n\n\n\n

Credential stuffing on automatisoitu hy\u00f6kk\u00e4ystekniikka, jossa rikolliset sy\u00f6tt\u00e4v\u00e4t varastettuja k\u00e4ytt\u00e4j\u00e4tunnus-salasana -pareja automaattisesti satoihin tai tuhansiin verkkopalveluihin. Koska suuri osa k\u00e4ytt\u00e4jist\u00e4 k\u00e4ytt\u00e4\u00e4 samaa salasanaa useassa palvelussa, jopa muutaman prosentin onnistumisaste 24 miljardin kirjauksen kokoelmasta tarkoittaa satoja miljoonia potentiaalisesti kaapattuja tilej\u00e4<\/strong>.<\/p>\n\n\n\n

Hy\u00f6kk\u00e4ysketju alkaa infostealer-tartunnasta tai tietokantavuodosta. Varastetut tunnukset p\u00e4\u00e4tyv\u00e4t hakkerimarkkinapaikoille tai Telegram-kanaviin, usein muutamien tuntien tai p\u00e4ivien sis\u00e4ll\u00e4 tartunnasta. Ostaja lataa credential-paketin, ajaa sen credential stuffing -ty\u00f6kalun l\u00e4pi ja saa listan onnistuneesti validoituneista tileist\u00e4 \u2013 siis tileist\u00e4, joille kirjautuminen onnistui. N\u00e4it\u00e4 tilej\u00e4 myyd\u00e4\u00e4n edelleen tai hy\u00f6dynnet\u00e4\u00e4n suoraan.<\/p>\n\n\n\n

Kaapattuja tilej\u00e4 hy\u00f6dynnet\u00e4\u00e4n edelleen monin tavoin: s\u00e4hk\u00f6postitileihin p\u00e4\u00e4sty\u00e4\u00e4n hy\u00f6kk\u00e4\u00e4j\u00e4 voi nollata muiden palveluiden salasanat; pilvipalvelutileist\u00e4 voidaan varastaa laskutustietoja tai louhia kryptovaluuttaa; yritystileist\u00e4 voidaan k\u00e4ynnist\u00e4\u00e4 laajentuva tunkeutuminen (lateral movement) koko organisaatioon. Infostealer-lokeissa olevat istuntoev\u00e4steet<\/strong> ohittavat jopa monivaiheisen tunnistautumisen, koska ne edustavat jo todennettua istuntoa.<\/p>\n\n\n\n

Miksi sama salasana useassa paikassa on kriittinen riski<\/h3>\n\n\n\n

Salasanojen uudelleenk\u00e4ytt\u00f6 on credential stuffingin t\u00e4rkein polttoaine. Kyberturvallisuustutkimusten mukaan yli 65 prosenttia verkkok\u00e4ytt\u00e4jist\u00e4 k\u00e4ytt\u00e4\u00e4 samaa salasanaa useammassa kuin yhdess\u00e4 palvelussa. Kun yksi palvelu murtautuu tai kirjautumistiedot vuotavat infostealer-tartunnan kautta, kaikki muut saman salasanan alla olevat tilit ovat v\u00e4litt\u00f6m\u00e4ss\u00e4 vaarassa.<\/p>\n\n\n\n

Salasanahallintaohjelma kuten Bitwarden tai KeePass ratkaisee t\u00e4m\u00e4n ongelman generoimalla ainutkertaisen, satunnaisen salasanan jokaiselle palvelulle. Kun salasana on uniikki, yhden palvelun tietovuoto ei vaaranna muita tilej\u00e4. T\u00e4m\u00e4 on yksinkertaisin ja tehokkain keino suojautua credential stuffing -hy\u00f6kk\u00e4yksilt\u00e4. Yhdistettyn\u00e4 monivaiheiseen tunnistautumiseen se kattaa suurimman osan infostealer-hy\u00f6kk\u00e4ysten uhkakuvasta.<\/p>\n\n\n\n

Elasticsearch-palvelimien avoimen konfiguraation ongelma<\/h2>\n\n\n\n

Kes\u00e4kuun 2026 l\u00f6yd\u00f6n tekee erityisen huomioitavaksi se, ett\u00e4 tietokanta sijaitsi julkisesti avoimessa Elasticsearch-klusterissa. Elasticsearch-instanssit ovat jo vuosia olleet yksi yleisimmist\u00e4 syist\u00e4 tahattomiin tietovuotoihin: j\u00e4rjestelm\u00e4nvalvojat pystytt\u00e4v\u00e4t klusterin nopeasti, unohtavat konfiguroida kulunvalvonnan, ja Shodan-hakukone indeksoi sen muutamassa tunnissa.<\/p>\n\n\n\n

Elastic on lis\u00e4nnyt oletussuojausta uusiin versioihin, mutta vanhat instanssit ja pikaisesti pystytetyt testausymp\u00e4rist\u00f6t j\u00e4\u00e4v\u00e4t usein ilman asianmukaista suojausta. UpGuard, Shodan ja Censys l\u00f6yt\u00e4v\u00e4t jatkuvasti kymmeni\u00e4 tuhansia avoimia Elasticsearch-instansseja, joista osa sis\u00e4lt\u00e4\u00e4 arkaluonteista dataa. Sama ongelma koskee MongoDB:t\u00e4, Redis-klustereita ja Amazon S3 -\u00e4mp\u00e4reit\u00e4.<\/p>\n\n\n\n

Organisaatioiden tulee auditioida kaikki Elasticsearch-instanssit s\u00e4\u00e4nn\u00f6llisesti ja varmistaa, ett\u00e4 autentikointi on pakollinen kaikissa ymp\u00e4rist\u00f6iss\u00e4<\/strong>, my\u00f6s kehitys- ja testausymp\u00e4rist\u00f6iss\u00e4. Pilvipalveluntarjoajien tietoturvapalvelut, kuten AWS Security Hub tai Azure Defender for Cloud, voivat h\u00e4lytt\u00e4\u00e4 avoimista tallennuspalveluista automaattisesti \u2013 n\u00e4iden k\u00e4ytt\u00f6\u00f6notto on kriittist\u00e4.<\/p>\n\n\n\n

Kuinka tarkistaa, onko omat tietosi vuotanut<\/h2>\n\n\n\n

Ensimm\u00e4inen askel on tarkistaa, sis\u00e4ltyyk\u00f6 s\u00e4hk\u00f6postiosoitteesi tai salasanasi tunnettuihin vuotoihin. Have I Been Pwned<\/strong> (haveibeenpwned.com<\/a>) on laajimmin k\u00e4ytetty ilmainen palvelu, joka indexoi miljardeja varastettuja tunnuksia. Sy\u00f6tt\u00e4m\u00e4ll\u00e4 s\u00e4hk\u00f6postiosoitteesi n\u00e4et, onko se l\u00f6ytynyt tunnetuista vuodoista.<\/p>\n\n\n\n

Malwarebytes tarjoaa Digital Footprint Portal -palvelua<\/a>, jolla voit tarkistaa laajemman digitaalisen jalanj\u00e4lkesi. Google Password Manager ja Apple Keychain varoittavat automaattisesti, jos tallennettu salasana on esiintynyt tietoturvaloukkauksessa \u2013 ota n\u00e4m\u00e4 h\u00e4lytykset k\u00e4ytt\u00f6\u00f6n heti.<\/p>\n\n\n\n

Suomalaiset voivat my\u00f6s k\u00e4ytt\u00e4\u00e4 NCSC-FI:n kyberturvallisuustiedotteita<\/a> (ncsc.fi), jotka informoivat suomalaisiin palveluihin kohdistuvista tietovuodoista. Organisaatioiden kannattaa liitty\u00e4 NCSC-FI:n maksuttomaan Autoreporter-palveluun, joka l\u00e4hett\u00e4\u00e4 automaattiset ilmoitukset, jos organisaation IP-osoitteet tai toimialue n\u00e4kyy uhkasy\u00f6tteiss\u00e4.<\/p>\n\n\n\n

Suositellut suojatoimenpiteet k\u00e4ytt\u00e4jille ja yrityksille<\/h2>\n\n\n\n

Malwarebytes, Cybernews ja alan asiantuntijat suosittavat seuraavia toimenpiteit\u00e4 heti tietovuodon paljastumisen j\u00e4lkeen. Kiireellisyys on ratkaiseva: credential stuffing -botit aloittavat tyypillisesti muutamien tuntien sis\u00e4ll\u00e4 aineiston levi\u00e4misest\u00e4.<\/p>\n\n\n\n