芬蘭最大醫療資安災難:心理治療紀錄外洩事件啟示
A faceless hacker stole my therapy notes – now my deepest secrets are online forever
作者: Jenny Kleeman | 時間: Sat, 17 Jan 2026 02:15:51 GMT | 來源: BBC
f t
梅里-圖莉·奧爾(Meri-Tuuli Auer)一看到垃圾郵件資料夾裡的郵件主旨,就知道這絕非普通垃圾郵件。郵件裡包含她的全名與社會安全號碼——芬蘭人用來使用公共服務和銀行的獨特代碼。
這封郵件充滿了無人應知曉的奧爾私密細節。
發信人知道她正在透過一家名為Vastaamo的機構接受心理治療。他們聲稱駭客入侵Vastaamo的患者資料庫,要求奧爾在24小時內支付200歐元(約175英鎊)的比特幣,否則48小時內價格會漲至500歐元。
他們寫道:「若你不付款,你的資訊將公諸於世,包括姓名、住址、電話號碼、社會安全號碼,以及包含你與Vastaamo治療師對話逐字稿的詳細病歷紀錄。」
「那時我才真正感到恐懼,」30歲的奧爾告訴我,「我請了病假,把自己關在家裡,不敢出門,也不想讓人看見。」
她是2020年10月遭無名駭客勒索的3.3萬名Vastaamo患者之一。
這些患者曾向治療師透露最私密的想法,包括自殺未遂、婚外情與兒童性侵經歷。
在這個僅560萬人口的芬蘭,彷彿每個人都認識 Therapy records 被竊的受害者。這場風暴演變成全國醜聞,成為芬蘭史上最大犯罪事件,當時總理桑娜·馬林(Sanna Marin)甚至召開內閣緊急會議研商對策。
但阻止駭客已為時已晚。
在向Vastaamo患者發送勒索郵件前,駭客已將竊取的完整資料庫發布至暗網,未知數量的人已閱讀或下載副本。這些紀錄自此不斷流竄。
奧爾曾告訴治療師連最親密家人都不知的祕密——她的暴飲習慣,以及與年長男子的秘密戀情。
如今,她最深的恐懼成真了。
但這起駭客事件並未摧毀她,反而讓她發現自己比想像中更堅韌。
奧爾位於赫爾辛基郊區的公寓看似充滿歡樂。書架上擺滿芭比娃娃收藏品,客廳中央還立著一根鋼管舞桿。但奧爾提醒,表面現象不可輕信,她大半生都在與憂鬱和焦慮搏鬥。
「我性格外向、自信,喜歡與人相處,」奧爾說,「但我總覺得大家暗地認為我很蠢、很醜,我的人生充滿錯誤。」
2015年,奧爾首次尋求幫助。她向Vastaamo治療師談及心理健康問題、酗酒,以及18歲時與年長男子的秘密關係。她完全信任治療師,並在對方協助下取得實質進展,卻從不知治療師在紀錄中寫了什麼。
收到勒索郵件時,Vastaamo資料外洩新聞早已曝光。三天前,勒索者開始在暗網分批釋出治療紀錄,每天100筆,試圖向Vastaamo施壓繳付數周來索求的高額贖金——約40萬英鎊等值的比特幣。
奧爾表示她忍不住查看了那些資料。
「我從未用過暗網,但心想必須確認我的紀錄是否在其中。」
發現資料未外流後,她關閉檔案且未閱讀他人紀錄。但她目睹暗網上有人嘲笑患者的痛苦:「一個10歲兒童的治療紀錄竟被人當笑話。」
幾天後,當所有Vastaamo患者的紀錄確已曝光,奧爾的心理狀況急轉直下。
她不知道誰是兇手,也害怕最私密的想法已被誰閱讀,甚至不敢搭大眾運輸、出門或為郵差開門,也不相信駭客會被逮捕。
芬蘭偵探起初也因數據量龐大而憂心難以破案。
「我無法想像規模之大,這絕非普通案件,」領導調查的警探馬可·萊波寧(Marko Lepponen)說。
但經過兩年偵辦,芬蘭警方於2022年10月鎖定嫌疑人:知名網路罪犯尤里烏斯·基維邁基(Julius Kivimäki)。
2023年2月,基維邁基在法國被捕並遣返芬蘭接受審判。
因2.1萬名前Vastaamo患者登記為刑事案原告,法庭無法容納所有人,故於電影院等公共場所舉行審判轉播。
奧爾堅持出席轉播現場,驚訝於基維邁基的平凡模樣。
「他看起來就像普通芬蘭年輕人,」她說,「讓我覺得這可能是任何人。」
當基維邁基被判有罪、處以六年七個月徒刑時,她感到某種正義得以伸張。
「無論判多重都無法彌補一切。但法院承認了受害者的痛苦,這讓我感到安慰。」
基維邁基持續否認與駭客事件有關。
得知資料外洩後數月,奧爾向Vastaamo索取紀錄紙本。
她將厚厚一疊病歷放在桌上,向我敘述這一切。
即使紀錄已外流逾五年,Vastaamo患者仍持續受害。甚至有人建立搜尋引擎,只要輸入姓名即可在暗網查找資料。
奧爾同意與我分享部分外洩治療紀錄。
「患者主要表現為憤怒、衝動、刻薄,」她念著治療師首度紀錄內容,「患者以散漫方式敘述過往,人際困難源於其易怒性格,這在同齡人中較常見。」
首次閱讀時,她心碎不已:「他對我的描述傷害了我,讓我對曾經的自己感到惋惜。」
她表示資料外洩嚴重損害患者信任:「許多曾長期就診的Vastaamo客戶,如今再也不會預約治療。」
代表Vastaamo受害者起訴駭客的律師透露,已知至少兩起案例中,有人得知治療紀錄遭竊後自殺。
奧爾決定直面恐懼。她於社群媒體公開駭客事件,讓所有人知道她是受害者之一。
「當周遭人皆知悉,對我來說輕鬆許多,」她說。她也向家人透露外洩紀錄內容,包括從未告知的祕密關係:「大家都很支持。」
最終,她選擇出書講述自身經歷奪回敘事權。書名直譯為《眾人都知道》。
「我將它轉化成敘事,至少能講述紀錄中看不到的我的故事。」
奧爾如今接受祕密永遠曝光的現實。
「為了自身心理健康,不去想它反而更好。」