Selon la police, des « milliers » de patients ont déjà porté plainte et beaucoup ont dit avoir reçu des courriels dans lesquels des pirates exigeaient 200 euros en bitcoin pour empêcher la diffusion du contenu de leurs discussions avec les thérapeutes.
Dans le même temps, les associations de santé mentale et d’aide aux victimes disaient lundi être submergées d’appels de personnes craignant que leurs conversations avec leur thérapeute ne soient rendues publiques.
Ces données ont été dérobées à la société privée Vastaamo, qui gère 25 centres de psychothérapie à travers le pays nordique fort de 5,5 millions d’habitants.
« Nous enquêtons, entre autres chefs d’inculpation, sur une atteinte à la sécurité et une extorsion aggravées », a déclaré Robin Lardot, responsable de la police judiciaire, lors d’une conférence de presse dimanche, ajoutant que le nombre de patients touchés pourrait atteindre plusieurs dizaines de milliers.
De son côté, la société Vastaamo s’est dite « extrêmement désolée » face à la situation, tandis que des experts en sécurité ont déclaré au journal Helsingin Sanomat qu’un fichier lourd de 10 gigabits contenant les échanges privés entre les thérapeutes et leurs patients était apparu sur la toile noire.
Cette fuite a provoqué la consternation dans le pays. Le gouvernement s’est réuni dimanche pour discuter de la manière de soutenir les patients dont les données ont été divulguées.
« Il est absolument clair que les gens sont à juste titre inquiets non seulement pour leur propre sécurité et leur santé, mais aussi pour celle de leurs proches », a déclaré la ministre de l’Intérieur, Maria Ohisalo, à la presse dimanche soir.
Pour Mikko Hypponen, spécialiste de la sécurité des données, cette fuite est « très inhabituelle ».
Selon lui, un seul autre cas de chantage de la sorte est connu à ce jour: en 2019, une clinique de reconstruction faciale en Floride s’était fait voler une « quantité moins importante » de données.
La ministre de l’Intérieur a par ailleurs déclaré que l’autorité finlandaise de régulation des services sociaux avait ordonné à Vastaamo de lui fournir des détails sur ses pratiques en matière de violation de données et sur la manière dont elle s’est acquittée de ses responsabilités.