2020年10月的一天，30岁的芬兰女子Meri-Tuuli Auer像往常一样打开电子邮箱，一封看起来像垃圾邮件的东西引起了她的注意：

“你的个人隐私已被我们掌握，请在24小时内支付200欧元的比特币，否则我们会将你的隐私公之于众……”

换做平时，Auer多半会不屑地一笑，然后将邮件扔进回收站。

（Auer是众多受害人之一）

然而这一次，邮件下方的一行字却让她脊背发凉：

Auer的全名，社会保障号码，电话，还有她在一家名为Vastaamo的心理治疗公司接受过心理治疗的部分病历。

这让Auer不由得担忧发件人说的或许是真的。

此外，发件人还信誓旦旦表示：

“他们”是顶尖黑客，早已黑进了Vastaamo公司的服务器，如不按时支付赎金，你的秘密将被发到网上，公之于众。

（Vastaamo的一家线下诊所）

这显然戳到了Auer的软肋，因为她曾向Vastaamo的心理治疗师吐露了很多连家人都不知道的秘密：她深陷酗酒，还跟一个年长的男人常年保持不伦关系…

Auer深思了很久，最终决定不向勒索者妥协。

彼时的她并不知道，自己只是因Vastaamo资料泄露而遭勒索的33000名受害者中的一员。

62岁的Tiina Parikka是另一位受害者，她也收到了写明她姓名，社保号码，以及在Vastaamo的治疗记录的邮件。

那些曾向心理治疗师吐露过的秘密却令她差点崩溃：

她为生下残疾孩子感到失望和愤怒，还有一大堆傻事，幼稚，仇恨，以及邪恶的往事……

（受害人Parikka）

如果真的被勒索者公开，Parikka无异于要经历严重的社会性死亡，她开始陷入深深的焦虑，甚至一度有了轻生的念头…

在芬兰这个只有560万人的国家里，几乎一夜之间，每个人都认识了几个心理治疗记录被偷的人，黑客盗窃Vastaamo的资料并勒索受害人的事，很快演变成了全国性事件。

（Auer不向勒索人妥协）

当时的芬兰总理甚至召开了紧急会议商讨对策，然而事情并没有就此结束，人们惊讶地发现：

黑客在发出勒索邮件之前，就已经将众多受害人的资料公布在了暗网上，不知有多少人阅读或下载了副本。

芬兰警方和众多侦探迅速展开调查，但由于数据量实在惊人，不少专家都对抓到嫌疑人不抱希望。

芬兰警方的首席探员曾直言：

“我简直无法想象规模有多大，这可不是普通的案件……”

虽然嘴上抱怨，但芬兰警方并没有被困难吓倒，他们蛰伏下来潜心查案。

不过，海量数据被盗对Vastaamo的打击却是毁灭性的。

Vastaamo原本是芬兰的心理咨询巨头，成立于2008年，用线上远程治疗和线下实体诊所相结合，年收入高达1400万欧元。

结果爆出这事儿后，Vastaamo名声一落千丈，在2021年2月宣布破产倒闭，留下了芬兰史上最大的数据泄露记录。

（Vastaamo的招牌）

此后的两年里，泄露的受害者隐私依旧在暗网上流传，芬兰警察对海量数据逐个检查，竟然在一个不起眼的角落里发现了蛛丝马迹！

原来，黑客当初把受害者的隐私上传到暗网时，前三批都是手动发布的，后来为了偷懒，黑客试图自动化上传。

结果，此人不仅上传了受害人的治疗笔记，还不小心上传了自己的主文件夹，虽然那个文件夹只出现了一下就被删除，却还被一位查案的探员敏锐捕捉到了痕迹。

（黑客Kivimäki）

这位侦探发现文件夹里的一些文件名，命名风格非常幼稚，让他联想到了一个熟悉的旧犯——Aleksanteri Kivimäki。

Kivimäki是个天才黑客少年，早在14岁时就加入了黑客组织。

17岁时跟随黑客团队发动网络攻击，迫使Xbox和PlayStation的服务器被迫关闭，事后还公开嘲笑微软和索尼的网络安全。

18岁时，Kivimäki又入侵了麻省理工和哈佛大学的服务器，导致5万起数据泄露。他之后被芬兰警方逮捕，被判缓刑。

（Kivimäki是著名的惯犯）

再后来他周游世界，不知所踪，但不少警探都认为，这个常用假名，金发碧眼的胖脸少年不可能就此安分，一定会再度出来搞事。

为了验证侦探的猜测，警方向勒索邮件提供的账号支付了一点比特币，成功追踪到了比特币洗钱成现实货币后，流入了Kivimäki的银行账户。

而从黑客意外上传的文件夹里，警方也顺藤摸瓜找到了一个黑客本人用来支付苹果订阅的信用卡账号，一查户主名字，竟然也是Kivimäki！

为了多方验证，警方还追溯了黑客的主文件夹历史，发现这位黑客曾搜索了自己的家庭地址和家人姓名，这说明他想在发布受害人隐私前，确保里面没有关于自己或亲近者的有害信息。

而这些搜索时使用的IP地址，都指向伦敦的一所公寓。

Vastaamo数据泄露案发生时，Kivimäki正住在这所公寓里！

（Kivimäki的通缉令）

线索足够了！

2022年10月，芬兰警方对Kivimäki发出通缉令，他那张略带稚气的脸加入了欧洲刑警的最高通缉逃犯名单，与众多杀人犯，毒贩并列。

2023年2月，法国警方在巴黎郊区一所公寓里逮捕了Kivimäki，几周后将他引渡给了芬兰警方。

2023年下半年，芬兰法院对Kivimäki进行公审，由于原告人数众多（超过两万的受害人），当局不得不进行影院直播，以方便原告们观看。

受害人Auer也在原告当中，当她第一次看见嫌犯的摸样，几乎不敢相信自己的眼睛：

“我不知道我期待什么，他看起来那么正常，就像大街上的普通芬兰年轻人。这让我觉得，原来真正的罪犯可能是任何人。”

（Kivimäki观看了庭审）

轰动全国的Vastaamo数据泄露案总算告破，但受害人却怎么也高兴不起来。

因为，芬兰法律的量刑实在太轻了。

Kivimäki被判所有罪名成立，包括足足9600项严重侵犯隐私和超过21300项严重企图勒索罪，却总共只判了6年零3个月监禁。

从2020年算起，最迟2026年年底，Kivimäki就可能重获自由（他甚至还在不断上诉要求减刑）。

（Kivimäki拒不反省）

然而Vastaamo数据泄露案案发后，已经有多名受害人自杀，其他受害者多年来也一直活在担惊受怕和焦虑中。

而时至今日，Kivimäki从未对自己的罪行有任何反省，他认为：

受害者只是一群无名无姓的面孔，人们都太过于执着隐私了，在数字时代追求隐私压根是不切实际的。

如此轻易重获自由，Kivimäki会不会重蹈覆辙？

会不会伤害更多无辜的人？……

Ref：

https://www.theguardian.com/technology/2026/jan/17/vastaamo-hack-finland-therapy-notes

https://www.bbc.com/news/articles/c62nzxqw45eo