蒂娜·帕里卡读到那封邮件时,身上只穿了一半衣服。那是2020年10月下旬的一个星期六,帕里卡作为校长,因学校暴发新冠疫情,整个上午都在处理远程学习计划。她在位于赫尔辛基郊外万塔的公寓里蒸了桑拿,走进卧室准备穿衣时,随手查看了手机。一条以她的姓名和社会保障号开头的消息赫然在目——这个唯一代码在芬兰用于医疗、教育和银行的身份识别。"我当时就知道,这不是儿戏,"她说。
邮件是用芬兰语写的,礼貌得令人不安。"我们联系您是因为您曾使用Vastaamo的治疗和/或精神科服务,"信中写道,"不幸的是,我们必须要求您付费以确保您的个人信息安全。"发件人要求在24小时内支付200欧元的比特币,否则48小时内价格将涨至500欧元。"如果届时我们仍未收到款项,您的信息将被公之于众,包括您的姓名、地址、电话号码、社会保障号,以及您与Vastaamo治疗师或精神科医生的详细对话记录。"
帕里卡回忆这段经历时艰难地咽了咽口水。"我的心怦怦直跳,呼吸非常困难。我记得我躺在床上对我的配偶说:‘我觉得我要心脏病发作了。’"
有人侵入了Vastaamo——帕里卡通过这家公司接受心理治疗。他们掌握了包含她最私密感受和阴暗想法的治疗笔记,并以此勒索。帕里卡思绪飞转,试图回忆起三年来每周治疗中倾诉的一切。如果家人知道她说过的话会作何反应?她的学生们又会怎么说?那种被暴露和侵犯的感觉深不可测:"感觉就像一场公开的强奸。"
治疗曾是帕里卡的生命线。现年62岁的她在25岁时已有三个孩子,其中包括一对在1980年代早产的双胞胎,出生时每个只有几百克重。一个患有脑瘫长大;另一个双目失明。帕里卡多年来一边应对医疗紧急情况、手术和住院,一边从事高压工作,婚姻也濒临破裂。"那些年里,从来没有人问过我这位母亲:‘你还好吗?’"
她于2014年离婚,一年后遇到了现在的伴侣。那时,她的孩子们都已成年独立生活。在数十年将他人的需求置于自己之上之后,她本应终于能够松一口气。然而,她却崩溃了。"我全身时刻充满焦虑,无法入睡,惊恐发作,吃不下饭。"一天在高速公路上疾驰时,阴暗的念头袭来。"我在想,就算这辆车撞了也无所谓。"
为了寻求紧急帮助,她上网搜索,找到了Vastaamo——芬兰为寻求心理治疗的人提供的一站式数字服务平台。无需医生转诊。她成功预约了第二天的治疗。"就这么简单。"
向一个完全陌生的人倾诉让她感到解脱。她告诉了治疗师从未对任何人说过的事情。"关系中的创伤,拥有残疾孩子的失望和悲剧,以及这对我生活的影响,"她说,"愚蠢的、幼稚的事情。感到憎恨、愤怒、狂怒,这都是人之常情。"
帕里卡读完那封让她呼吸困难的电邮后,不知该向何处求助。她惊慌失措……她拨打了紧急服务电话,但警察让她挂断,他们需要保持线路畅通处理真正的紧急情况。穿着浴袍,手机仍握在手中,她感到无比孤独。
但帕里卡远非孤身一人。整个芬兰,33,000名曾使用Vastaamo服务的人发现,一名黑客获取了他们的治疗笔记并以此勒索。这些人,顾名思义,很可能处于脆弱状态并需要帮助。每个人都经历着极其私人的恐惧。在这个只有560万人口的国家,每个人都认识某个被黑客攻击的人。
一些受害者的笔记已被挑选并公之于众。在勒索邮件发出的三天前,一个名为"ransom_man"的用户在暗网、r/Suomi(芬兰语版Reddit)以及芬兰类似4chan的网站Ylilauta上发帖。这次,帖子是用英语写的。"芬兰的同行们,你们好,"开头写道,"我们入侵了心理治疗诊所vastaamo.fi,获取了数万份患者记录,包括极其敏感的治疗笔记和社会保障号。我们要求支付40比特币的小额赎金(对于年收入近2000万欧元的公司来说微不足道),但首席执行官已停止回复我们的邮件。我们现在开始逐步发布他们的患者记录,每天100条。"
帖子附有一个暗网链接,上面已经展示了100条记录。正下方,ransom_man用一个词结束了帖子:"享用吧!"
这100条记录包括政治家、警察和知名公众人物。他们的名字旁边是治疗笔记,其中包含通奸、自杀企图、恋童癖和性暴力等细节。有些记录属于儿童。而黑客幕后黑手信守了承诺:第二天,又上传了100条患者记录。
一些受害者拼命在暗网上搜索,查看自己的记录是否在其中。一些人在倒计时中匆忙获取比特币支付了赎金。代表受害者的律师告诉我,他们知道至少有两起案例,人们在发现自己的治疗笔记被黑客窃取后自杀。
但对所有人来说,为时已晚。2020年10月23日凌晨2点——就在邮件开始涌入数万个收件箱的前一天——ransom_man上传了一个更大的文件。它包含了Vastaamo数据库中每位患者的每一条记录。每个人的治疗笔记早已被免费公之于众,供全世界观看。
谁是芬兰有史以来最大罪案的幕后黑手?他们的动机除了金钱还有其他吗?我花了18个月试图回答这些问题,追踪线索遍及欧洲和美国。最终,我探访了一座监狱,并进行了一次我经历过的最令人不寒而栗的对话。
芬兰已连续八年被联合国评为世界上最幸福的国家。作为儿童保育和教育领域的全球领导者,芬兰也以高科技闻名:它是欧洲数字化程度最高的国家,以通信领域(诺基亚的故乡)闻名,并在网络安全和人工智能创新方面领先。但芬兰也是一个极端之地。它的人均重金属乐队数量超过任何其他国家。在最北端,冬至前后的几天里,太阳不会升起。
Vastaamo长期以来一直被视为芬兰正确运用数字技术的典范。该公司由企业家维尔·塔皮奥和他的母亲、心理治疗师尼娜于2008年创立,旨在让大众能够获得治疗,并消除寻求帮助的污名。该平台让人们轻松查看谁有空、在哪里、擅长何种治疗方法。其标志采用了急救箱的配色方案,绿色对话气泡中有白色文字。"Vastaamo"意为"答案之地"。对治疗师来说,这也是一个有吸引力的平台:他们不必担心营销或计费——Vastaamo会处理这一切。公司甚至提供了一个后台数字界面,治疗师可以在其中记录和存储笔记。这种模式,加上对治疗服务日益增长的需求,使得Vastaamo迅速发展。它在芬兰各地开设了约20家诊所的网络,到2018年雇佣了220多名心理治疗师,导致一些芬兰人称之为"治疗的麦当劳"。在Zoom和Teams成为我们日常生活一部分之前的几年里,Vastaamo提供的远程治疗也具有开创性。2019年,一家私募股权公司收购了该公司的多数股权,使塔皮奥家族获得了超过500万欧元的收益。
30岁的梅里-图利·奥尔形容使用Vastaamo"就像治疗的优步——方便、易得、相对便宜"。她选择她的治疗师是因为他提供认知心理治疗——而且她喜欢他的照片。"他看起来不错,平易近人。"
奥尔在赫尔辛基郊外的家里一片粉红色。她的书架上有芭比娃娃、芭比书和芭比主题的手提包,还有一辆闪亮的敞篷芭比跑车。一根钢管舞杆占据了她客厅中央的显眼位置。
"我是个混合性格的人,"她用姆明马克杯喝着茶告诉我。"我喜欢和人在一起,但我会有那种预感,那种怀疑:也许他们都认为我满嘴胡言、愚蠢、丑陋,而且我不知道自己在做什么。"奥尔一生中大部分时间都在与抑郁症作斗争。18岁时,她与一位比她大29岁的男子有一段隐秘而艰难的关系,这使她的自尊心进一步下降。她酗酒严重。"如果我没有去接受治疗,我不知道我会变成什么样子。也许在另一个宇宙里,我没能活到30岁。"
奥尔治疗的大部分费用由芬兰医疗系统承担;她每周只需支付约25欧元。她取得了巨大进步。"在2018年和2019年接受治疗后,我获得了一种基本的安全感。但在2020年,这种感觉消失了。"
Vastaamo的首席执行官在客户发现之前数周就知道公司的患者登记处被勒索。2020年9月28日,维尔·塔皮奥收到一封电子邮件,要求支付相当于45万欧元的比特币以确保数据安全。邮件附带的患者记录样本证明勒索者并非虚张声势。塔皮奥请来一家网络安全公司进行调查。
医疗信息是潜在勒索者的明显目标,塔皮奥雇佣的安全专家安蒂·库里图说。但这次不同:"无论我告诉治疗师什么,本质上都比我血压是多少私密得多,"他干巴巴地说。
库里图曾是一名侦探,为芬兰警方调查网络犯罪;他说他坚持要告知警方勒索企图,以便他们能展开平行调查。同时,他开始检查Vastaamo的服务器,寻找黑客身份的线索——他首先注意到的是安全措施多么松懈。"它绝对不适合存储这类信息,"他说。他告诉我,患者记录数据库可以通过互联网访问;没有防火墙,也许最严重的是,它使用空白密码保护,因此任何人都可以按回车键打开它。库里图确定,无论谁入侵了Vastaamo,可能只是在扫描互联网,寻找任何安全措施薄弱的……黑客在寻找可以从中获利的宝贵数据库。"他们测试了各种银行金库,看看哪些没有上锁,偶然发现了这个,"库里图解释道。
我们最私密的秘密——那些我们永远不想暴露给世界的东西——就在网上。
几周来,黑客和Vastaamo通过电子邮件沟通,但Vastaamo从未考虑支付赎金。这样做意味着相信罪犯删除记录的承诺。此外,库里图指出,这不符合芬兰人的性格。"芬兰人可能很固执。我们不以默默或轻易支付赎金而闻名,这对我来说是一种民族自豪感。"
黑客使用化名"ransom_man"开始泄露患者记录以向公司施压后,库里图密切监控了用于发布这些记录的服务器。他怀疑攻击者要么是芬兰人,要么在芬兰生活了很长时间,因为他们知道从患者档案中突出哪些知名人士。
奥尔得知数据泄露后,第一次下载浏览器访问暗网。"我心想,我必须检查一下我的记录是否在那里,"她说。她在第一批发布的记录中没有找到自己的名字,没有阅读其他人的记录就关闭了文件。但她看到其他人在讨论他们看到的内容。"人们已经挑出了他们认为患者记录中最有趣的部分。他们在嘲笑这些人的痛苦。一个10岁的孩子去接受治疗,人们觉得这很有趣。"
奥尔开始崩溃。"我把自己关在家里。我不想出门;我不想让任何人看到我,"她回忆道。她对抓住黑客不抱太大希望。"不是我信不过芬兰警方——只是这似乎是一项不可能完成的任务。"
然而,ransom_man上传到暗网的更大的文件——包含Vastaamo所有患者记录——也包含了他身份的关键线索。前三批治疗笔记是手动发布的,但当黑客试图自动化这个过程时,他不仅上传了所有治疗笔记,还意外上传了他的整个主文件夹。该文件只短暂上线就被撤下,并附有一篇帖子写着"哎呀 :D"——但ransom_man犯了一个关键错误。
"花了几个晚上研究这个文件后,我有种似曾相识的感觉,"库里图说。黑客主驱动器上的数据并没有像经营勒索业务的人那样系统地组织到文件夹中。"它有一种混乱、狂热的业余爱好者感觉。"ransom_man命名一些文件的方式也令人毛骨悚然地熟悉(包含所有患者数据的文件名为"therapissed")。
库里图的思绪回到了2013年,当时他是赫尔辛基警方的高级侦探警员,他在从一名16岁男孩手中没收的电脑上看到的文件名。"这让我想起了尤利乌斯·基维迈基。"
亚历克桑特里·基维迈基——过去常用中间名尤利乌斯或网络昵称"zeekill"——长期以来在网络安全调查人员中臭名昭著。不是因为任何非凡的黑客技能,而是因为他似乎比大多数潜伏在互联网最黑暗角落的人走得更远。
14岁时,基维迈基参与了一个名为"黑掉星球"(Hack the Planet,源自1995年电影《黑客》的标语)的团体。他们会入侵大公司,并在网上吹嘘他们窃取了什么。"只是为了好玩,"伊利诺伊州的前黑客布莱尔·斯特拉特说,他当时在互联网中继聊天论坛上与基维迈基互动。"你注意到某个东西是开放的,你就去拿。""拿走它。这不是有针对性的。"
这种黑客行为是为了获得网络影响力并给他人留下深刻印象,而不是为了勒索钱财。然而,一些参与者可能认为,通过暴露大公司的安全漏洞或强调网络安全公司的虚伪(这些公司声称为企业提供建议却无法保护自己的网络),他们是在为一项崇高的事业服务。
起初,斯特拉特觉得基维迈基很有趣。"他早期做的很多事情客观上很有趣,"他在伊利诺伊州的家中通过Zoom告诉我。当我问我会不会觉得有趣时,他澄清说他的幽默感是后天养成的,最适合4chan。但在2010年,当斯特拉特17岁、基维迈基14岁时,他们因为谁将发布关于最近一次黑客攻击的报告而闹翻。
不久之后,披萨和中餐外卖开始送到斯特拉特与父母和妹妹在芝加哥郊区合住的家中。每次他们应门,送货司机都会问尤利乌斯·基维迈基在不在。"出租车被叫来了。应召女郎被叫来了,"斯特拉特说。"我父亲不得不拒收一辆装满砾石的翻斗车。"斯特拉特还收到了来自信用卡公司、保险机构和政府办公室的大量信件,其中包括一封来自社会保障部门的信,确认了他和他的配偶——尤利乌斯·基维迈基——的预约。
然后,一天凌晨2点,身穿防弹衣、手持激光瞄准器枪支的警察出现在斯特拉特家。他们接到报告称布莱尔在毒品引发的狂怒中殴打母亲致死。当他母亲应门时,警察测量了她的血压以确认她还活着。这是这家人将遭受的多次"报假警"(swatting)攻击中的第一次。经过短暂的平静,斯特拉特得知有人用他的名字向当地一名警官发送了炸弹威胁电子邮件,导致他在圣诞节期间在少年拘留中心度过了三周。
在他们争执数年后的2015年,有人入侵了埃隆·马斯克和特斯拉的推特账户,并推文说,任何拨打斯特拉特家座机或上门的人都可以获得一辆免费汽车。他们的电话响个不停好几天,布莱尔的父亲不得不从门廊赶走几个失望的人。有人用布莱尔母亲的名字发帖威胁要扫射他10岁妹妹就读的小学。他母亲的领英和推特账户被黑,并充满了幼稚、种族主义的帖子,以及针对她工作的医疗统计公司的反犹太主义侮辱。几个月内,她失去了工作。
这场恐怖活动持续了更多年。斯特拉特说它永远不会真正结束。"就像得了癌症:它永远不会真正治愈;它会缓解,"他解释道。"时不时会有人联系我说:‘嘿,我是帮助尤利乌斯做这些事的人之一。’有时他们会说:‘他逼我做的。他在勒索我,’他对很多人这样做。我想说清楚:我不是zeekill折腾得最惨的人。"
确实,基维迈基的目标远不止斯特拉特一家。2014年8月——就在他17岁生日几天后——他打了一个虚假的炸弹威胁电话,导致索尼在线娱乐总裁约翰·斯梅德利乘坐的航班停飞,斯梅德利负责PlayStation的多人网络。一个自称"蜥蜴小队"(Lizard Squad)的组织声称对此负责,在推特上几乎语无伦次地表示这次袭击是为了同情伊斯兰国。2014年12月25日,蜥蜴小队再次发动网络攻击,导致Xbox和PlayStation瘫痪,毁了数百万人的圣诞早晨。基维迈基肆无忌惮地作为蜥蜴小队的发言人接受了BBC 5 Live和天空新闻的采访,声称是他们发动了攻击。他既为了娱乐,也为了暴露微软和索尼糟糕的网络安全。他似乎陶醉于混乱和戏剧性。他在天空新闻上出镜时使用了假名,但他那张娃娃脸——金发、蓝眼、胖乎乎的脸颊——清晰可见。
2015年7月,经过芬兰警方的调查,基维迈基因入侵麻省理工学院和哈佛大学的服务器以及洗钱和欺诈被定罪。他被判犯有超过50,000起数据泄露罪,获得两年缓刑。他的电脑被没收,并被强制偿还通过犯罪获得的超过6,000欧元。他从未因对布莱尔·斯特拉特及其家人犯下的罪行受到法律制裁。
获得缓刑后不久,基维迈基更新了他的推特个人资料,写道"不可触碰的黑客之神"。
接下来的几年里,他周游世界。封锁期间,他住在威斯敏斯特一间有空调的公寓里,距离军情五处伦敦总部仅20米。他去了迪拜、香港、巴塞罗那和巴黎。根据他在网上发布的图片,他过着国际喷气式飞机常客的生活。但最终,他并非不可触碰。
警方向名为"ransom_man"的黑客支付了0.1比特币的小额款项。他们追踪了这笔钱,在其被洗成现实世界货币并转入基维迈基的银行账户后。ransom_man意外上传的主文件夹引导警方找到了几台服务器,其中一台是用与基维迈基关联的信用卡支付的——同一张卡他用于苹果服务和OnlyFans订阅。
调查人员检查ransom_man主文件夹中的历史记录时发现,黑客不仅在患者记录数据库中搜索了"强奸"、"虐待"和"儿童性侵"等关键词,还搜索了基维迈基的家庭地址和家庭成员姓名。"在发布之前,他确保没有关于他或亲近之人的有害信息,"此案的首席检察官帕西·瓦尼奥说。这些搜索来自与基维迈基威斯敏斯特公寓关联的IP地址。"犯罪发生时他在伦敦。"
但调查漫长而艰巨。有数TB的数据需要梳理。此案受害者众多,警方不得不创建一个在线门户供他们登记和提供证词。这产生了超过21,000份犯罪报告,每份都需要单独关注。直到2022年10月——帕里卡、奥尔和其他受害者收到勒索要求两年后——瓦尼奥才签署了对基维迈基的逮捕令。他胖乎乎的脸颊和蓬松的头发被添加到欧洲刑警组织最想通缉的逃犯名单中,与谋杀犯和毒贩并列。
2023年2月3日,法国警方接到巴黎郊区一处公寓发生家庭暴力的报告。警察用破门锤进入屋内,发现一男一女。男子面色苍白,头发淡金色,但当被要求出示身份时,他递上了一本罗马尼亚护照,名字是阿桑·阿梅特。"我们有一个斯堪的纳维亚长相的家伙,195厘米高,"瓦尼奥微笑着回忆道。"我想法国警察只是觉得有些不对劲。"他们检查了数据库,发现阿梅特是基维迈基已知的别名之一。几周后,他被移交给芬兰当局。
"我不知道我原本期待什么,但我很惊讶他看起来如此正常,"奥尔说。"他看起来像一个普通的芬兰年轻人。这确实让我觉得可能是任何人
