Lahti Aquan verkkosivuilla on ollut tietoturvapoikkeama 6.-8.4.2026. Tutkinnan jälkeen 17.4.2026 palveluntarjoaja totesi, että poikkeaman yhteydessä ei voitu poissulkea tietovuotoa. Poikkeama liittyi sähköisissä lomakkeissa käytetyn kolmannen osapuolen lisäosassa olleeseen vakavaan tietoturva-aukkoon, jota on hyödynnetty laajasti myös muilla toimijoilla. Välittömästi poikkeaman havaitsemisen jälkeen Lahti Aqua ryhtyi toimenpiteisiin tilanteen hallitsemiseksi ja vaikutusten rajaamiseksi.
Tietoturvapoikkeaman seurauksena verkkosivuston tekniseen ympäristöön luotiin luvaton käyttäjätili, jonka avulla sivustoon saatiin hallinnollisia oikeuksia. Tämän vuoksi sivuston kautta lähetettyihin tietoihin on voinut kohdistua luvaton tarkastelun riski.
Tässä vaiheessa emme pysty vielä varmuudella arvioimaan, kuinka montaa henkilöä tietoturvapoikkeama mahdollisesti koskee. Selvitämme asiaa parhaillaan ja päivitämme tiedot heti, kun tarkempi tieto on käytettävissä.
Mitä tietoja poikkeama on voinut koskea
Lahti Aquan verkkosivuilla on käytössä sähköisiä lomakkeita, joita asiakkaat ovat voineet käyttää asiointiin. Poikkeama koskee lomakkeita, jotka on lähetetty 15.4.2025 jälkeen. Lomakkeilla on voitu kerätä muun muassa nimi- ja yhteystietoja, asiakas- ja käyttöpaikkatietoja sekä asiakkaan itse antamia lisätietoja. Henkilötietojen kopiointia tai siirtämistä ulkopuolisille ei voida teknisesti täysin poissulkea. Tästä syystä tapahtumaa käsitellään EU:n yleisen tietosuoja-asetuksen mukaisena tietoturvaloukkauksena.
Poikkeama ei koske Lahti Aquan Minun Aquani -asiointipalvelua.
Välittömät toimenpiteet
Lahti Aqua poisti käytöstä kyseisen lisäosan ja palautti verkkosivuston puhtaaseen varmuuskopioon. Lisäksi yhtiö on käynnistänyt laajemmat tekniset ja rakenteelliset parannukset verkkosivujensa tietoturvan vahvistamiseksi. Tapahtuneesta on tehty ilmoitus tietosuojaviranomaiselle sekä NIS2-ilmoitus. Tapahtuneesta tehtiin myös rikosilmoitus.
Mahdolliset vaikutukset asiakkaille
Tietoturvaloukkauksen mahdolliset vaikutukset asiakkaille voivat näkyä esimerkiksi lisääntyneenä roskapostina. Asiakkailta ei edellytetä tässä vaiheessa toimenpiteitä. Lahti Aqua seuraa tilannetta aktiivisesti ja tiedottaa tarvittaessa lisää.
Lahti Aqua pahoittelee tapahtunutta ja sen mahdollisesti aiheuttamaa huolta.
Lisätiedot
Lahti Aqua Oy
Tietosuojavastaava
p. 03 851 5944
sähköposti: tietosuoja@lahtiaqua.fi