Passordlekkasje:

Avslører: 1,5 mill. norske passord lekket

Dersom din egen e-postadresse er berørt, bør du endre passord snarest mulig, advarer ekspert.

PASSORDLEKKASJE: Tidligere i januar ble det meldt om en gigantisk passordlekkasje. Dagbladets undersøkelser viser at den er omtrent ti ganger større enn først antatt. FOTO: Shutterstock / NTB Scanpix
PASSORDLEKKASJE: Tidligere i januar ble det meldt om en gigantisk passordlekkasje. Dagbladets undersøkelser viser at den er omtrent ti ganger større enn først antatt. FOTO: Shutterstock / NTB ScanpixVis mer

Tidligere i januar ble det advart om «den største passordlekkasjen i internettets historie». Lekkasjen omfattet en 87 GB stor database med e-postadresser og tilhørende passord.

Dagbladets undersøkelser viser at dette anslaget bare er én tiendedel av den totale databasen. Åpent på nettet fant vi totalt sju samlinger med lekkasjer som omfatter en database på 847 GB.

Det dreier seg om flere gamle passordlekkasjer, hvorav de eldste er opptil flere år gamle. Og det som verre er;

I databasen fant Dagbladet minst 1,5 millioner norske e-postadresser og tilhørende passord.

Antallet tredoblet

Også i oktober ble en liknende lekkasje bredt omtalt i norske medier. Da skrev Aftenposten at passord som er blitt brukt av statsminister Erna Solberg, digitaliseringsminister Nikolai Astrup, Telenor-sjef Sigve Brekke, DnB-sjef Rune Bjerke, lå åpent på nettet.

- Det var jo en vekker om at passord kan komme på avveie. Det var heldigvis ikke et passord jeg hadde brukt på mange år. Det er viktig å bytte passord ofte, sa Astrup til Dagbladet like etter at han tirsdag ble Norges første digitalminister .

Den gang viste Dagbladets undersøkelser at 573 000 norske e-postadresser var berørt. Dagbladets undersøkelser av den nylig offentliggjorte databasen viser at 1,5 mill. norske e-postadresser er berørt.

Informasjonssjef i Nasjonal sikkerhetsmyndighet (NSM), Trond Øvstedal, bekrefter at de kjenner til de tidligere passordlekkasjene.

- Vi er kjent med disse dumpene, og ser at det absolutt er grunn til å følge anbefalingene vi har gitt tidligere, sier Øvstedal til Dagbladet, og viser til NSMs passordanbefalinger.

Mørketall

Det finnes sannsynligvis langt flere norske e-postadresser som er blitt rammet, siden mange nordmenn også har kontoer på domener som gmail.com, msn.com og hotmail.com.

- Det er nok fryktelig store mørketall, sier sikkerhetsekspert og forsker ved NTNU og SINTEF, Maria Bartnes, til Dagbladet.

Databasen inneholder blant annet 3322 e-postadresser tilknyttet domenet til UiO, 282 tilknyttet politiet, fem tilknyttet PST, over 100 tilknyttet Stortinget og minst 437 som er tilknyttet domenene til de forskjellige departementene.

- Har vi sett en liknende samling tidligere?

- Nei, ikke som har blitt lekket offentlig slik at alle kan leke seg med det. Den er nok den første av den størrelsen, sier sikkerhetsekspert Per Thorsheim til Dagbladet.

- Har mistet verdi

Thorsheim poengterer at det finnes undergrunnsforum hvor man kan finne mange mindre lekkasjer, som til sammen kan bli større enn den Dagbladet har fått tak i.

- Vet man hva man leter etter, kan man finne både nyere og farligere lekkasjer.

- Denne samlingen mistet sin verdi i dét den ble offentliggjort. Man kan ikke lenger selge den, og derfor gis den ut slik at andre kan leke seg med den, sier Thorsheim.

Sikkerhetseksperten anslår at to tredjedel av de 1,5 mill. lekkede e-postadressene kan være fra helt ubetydelige tjenester som nordmenn ikke benytter seg av lenger, eller ikke utgjør noe fare. Han anslår også at det ikke er mer enn 100 000 kombinasjoner av e-postadresser og passord som fungerer den dag i dag.

- Men vi vet samtidig at veldig mange bruker de samme passordene på andre tjenester også, sier han.

Identitetstyveri

Dersom noen sitter på e-postadressen din og tilhørende passord, kan man i ytterste konsekvens bli utsatt for identitetstyveri, ifølge Maria Bartnes.

- Dersom en angriper sitter på passordet ditt, kan vedkommende kjapt ta kontroll over alle andre kontoer. Konsekvensen kan være at noen kan bruke penger i ditt navn ved å bestille varer eller tjenester, sier Bartnes til Dagbladet.

Med kontroll over e-postkontoen din, kan en angriper enkelt trykke på «glemt passord»-knappen på alle andre tjenester som er tilknyttet kontoen din - og på den måten overta dem også.

- Det setter eier av e-postkontoen i en ekstremt vanskelig situasjon, for det er veldig vanskelig å bevise at vedkommende er den han sier han er.

Ekspertenes beste tips

- Hvis du finner din egen e-postadresse i databasen, bør du snarest mulig endre passord på alle tjenester hvor du har brukt det, sier Bartnes.

Hennes beste tips for å unngå å bli hacket, er å bruke egne passord for de viktigste tjenestene, f.eks. e-postkontoen din og innloggingen på arbeidsstedet ditt.

Det andre Bartnes anbefaler er å bruke lange passord.

- Et godt passord er langt, og kan gjerne være en setning. «Jegluftethundenigår» er for eksempel bedre enn et kort passord med kombinasjoner av tall og store og små bokstaver.

Både Bartnes og Thorsheim anbefaler også å ta i bruk tofaktorautentisering - også kalt totrinnsbekreftelse - dersom tjenesten tillater det.

God sikkerhet er ikke bare brukerens ansvar, mener Bartnes.

- Et godt råd til virksomhetene er å sørge for å håndtere og lagre passord på en tilfredsstillende måte. Selv om det ikke gjelder flertallet lenger, er det mange virksomheter som gir passord i klartekst dersom man trykker på «glemt passord»-knappen.