VIL IKKE OMTALE METODER: Gründer av datingnettsida Sukker.no, Morten Gulliksen (innfelt), sier det er vanskelig å kommentere dataangrepet . Foto: Skjermdump Sukker.no / Warm Systems
VIL IKKE OMTALE METODER: Gründer av datingnettsida Sukker.no, Morten Gulliksen (innfelt), sier det er vanskelig å kommentere dataangrepet . Foto: Skjermdump Sukker.no / Warm SystemsVis mer

Dataekspert: Alle Sukker-brukere må bytte passord

Sikkerhetsrådgiver mener flere bør frykte for opplysningene sine, etter angrepet på Norges største datingside.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Sikkerhetsrådgiver Per Thorsheim reagerer på det han mener er mangelfull informasjon, etter at den norske datingnettsida Sukker ble utsatt for et dataangrep, som Dagbladet skrev tirsdag.

Ifølge en av nettsidas gründere, Morten Gulliksen, var det i går ingen grunn til bekymring. Han presiserte at hackerne ikke fikk kontroll over hele nettstedet, som i fjor hadde 160 000 aktive brukere. Likevel skal flere passord ha kommet på avveie.

- Skal ikke kunne vite det I en e-post Sukker har sendt til sine medlemmer som følge av angrepet, står det blant annet skrevet:

«Passordene på Sukker er tungt kryptert, så det går ikke an å stjele passord direkte fra Sukker. For de aller fleste vil passordet være god nok beskyttet. Der brukeren ikke har et avansert passord kan svindlere teoretisk ved hjelp av stor datakraft teste mot enorme lister av kjente/enkle/stjålne passord og dermed finne passordet.

Som sikkerhetstiltak har vi byttet de svakeste passordene, men alle som har relativt enkle passord bør bytte dette ved pålogging.»

Denne redegjørelsen får sikkerhetsrådgiveren til å reagere. Thorsheim, som jobber som selvstendig sikkerhetskonsulent med base i Bergen,  mener at Sukker aldri skal kunne differensiere mellom «gode» og «dårlige» passord.

- Dette gjør meg veldig nysgjerrig - for de skal i utgangspunktet ikke kunne vite hvilke passord som er dårlige eller ikke. Passord ligger som regel lagret som en «hash», et format som ikke kan reverseres. Dermed skal ikke Sukker eller andre kunne vite hvorvidt en brukers passord er dårlig eller ikke, sier Thorsheim, som har bakgrunn fra blant annet TV 2 og Telenor.

- Anta at alle passordene er stjålet Han mener det blir for enkelt å forklare det hele med at man bør bytte passordet sitt.

- Rådet om at alle med enkle passord bør bytte, er alt for tynt. De burde kjøre tvunget passordskifte på samtlige brukere, det er en helt normal ting å gjøre i en sånn situasjon, og det er det som er etablert god praksis. Du skal anta at alle passordene er blitt stjålet, mener han.

Én av datingnettsidas gründere, Morten Gulliksen, sier til Dagbladet at hackerne, som han anslår enten er «pressede konkurrenter eller utenlandske aktører», har måter å finne fram til passordene på, selv om de skal være godt sikret mot angrep.

- Passordene på Sukker er, og har vært, krypterte - men det finnes likevel trivielle teknikker for å finne hvilke krypterte passordstrenger som syntetiseres fra enkle passord, uten at selve passordet avsløres. Definisjonen av hva som er enkelt vil selvfølgelig avhenge av om noen har kommet seg inn eller ikke, sier Gulliksen.

- Overrasket over offentlig ordskifte Han mener forholdene må tas opp internt mellom brukerne og Sukker selv, og synes det er merkverdig at Thorsheim ytrer seg om saken.

- Vi håper at Dagbladet forstår vår bekymring og at vi får holde denne diskusjonen mellom oss og våre kunder. Vi har en løpende rettet dialog om passord og andre sikkerhetsrelaterte ting direkte med berørte og involverte kunder, og det å gi offentlig lys på dette i detalj vil bare redusere sikkerheten, sier Gulliksen.

- Vi er med i en gruppe hos Norsk Senter for Informasjonssikkerhet (Norsis) der ting blir diskutert mer i detalj. Vi er litt overrasket hvis Thorsheim åpner for en offentlig ordskifte rundt sensitiv informasjon. Denne gang var det oss og neste gang kan det være Dagbladet, så det er best at vi sammen sørger for best mulig sikkerhet, sier han.

- Var ikke forberedt Sikkerhetseksperten, Thorsheim, reagerer også på at det ikke står noe mer konkret om hva eller hvor mye e-post angriperne har fått tak i.

- Hvis angriper får tak i e-postadresser og brukernavn, vil jeg bli veldig overrasket hvis de ikke har fått tak i disse passord-«hashene». Enten har de skrevet mailen på en forsiktig måte for ikke å skremme brukerne og bevisst tåkelegge situasjonen, eller så var de ikke forberedt på at noe sånt kunne skje og har heller ikke god nok kunnskap på hvordan håndtere det, sier han.