Gigantiske læk fra online tjenester er en trussel mod brugerne

Jeg sad i toget på vej hjem fra Malmø en lørdag aften for nylig og hørte musik med høretelefoner i ørene.

Toget stod af uransagelige årsager stille, jeg var træt og havde drukket øl det meste af dagen, og jeg havde en søndagsvagt dagen efter. Så stemningen var i forvejen ikke ligefrem høj.

Så stoppede musikken. Jeg trykkede play igen. Musikken begyndte igen. Så stoppede musikken igen. Jeg trykkede play igen. Og musikken stoppede kort efter igen.

På min telefon viste det sig, at min konto hos streamingtjenesten Spotify blev brugt til at afspille musik på en anden telefon. Derfor stoppede musikken i min ende.

Den anden telefon, som min konto blev brugt på, havde navnet ’iphone de audrey’. Tilsyneladende benyttede en eller anden person ved navn Audrey altså min spotifykonto til at høre musik.

Egentlig gjorde det mig ikke specielt utryg, at en person havde adgang til min spotifykonto. Så pinlig er min musiksmag heller ikke.

Men da jeg kom til at tænke over, at jeg bruger Facebook til at logge ind på Spotify med, blev jeg en del mere urolig. Det kunne jo betyde, at personen også havde adgang til min facebookkonto.

Koder til salg

Dagen efter skrev jeg til Spotify om sagen. Efter meget kort tid fik jeg et svar fra en af tjenestens pressefolk.

I løbet af en halv time var han kommet frem til, at der skam ikke var noget galt.

Spotify havde undersøgt min konto, og der var ikke nogen mistænkelige spor at finde, fortalte han. Spotify nægter også at være blevet hacket.

Måske er det rigtigt, jeg ved det stadig ikke. Men flere medier har både i år og sidste år rapporteret om, at der på nettet er blevet offentliggjort og solgt spotifybrugeres brugernavne og adgangskoder. Hvordan oplysningerne er endt der, står stadig ikke klart.

Men flere gigantiske læk af brugeroplysninger og adgangskoder fra forskellige online tjenester er i løbet af de seneste måneder kommet til offentlighedens kendskab.

Det handler blandt andet om 360 millioner konti fra det hedengangne sociale netværk MySpace.

Et andet læk omhandler 117 millioner konti fra netværket LinkedIn. Et tredje vedrører 65 millioner konti fra mikroblogging-platformen Tumblr. Et fjerde hævder at være 40 millioner konti fra datingsitet Fling.com.

Og senest i denne uge blev oplysninger om 51 millioner konti fra den nu lukkede fildelingstjeneste iMesh sat til salg – dog uden at oplysningernes er blevet bekræftet endnu.

Usikkert at genbruge

Australske Troy Hunt er en de it-sikkerhedseksperter, der ved mest om sådanne læk. Han har analyseret mange af dem og driver en gratis service, hvor man kan tjekke, om man er blandt de uheldige, hvis oplysninger er blevet lækket.

»Disse læk udgør en trussel for alle brugere,« som der er blevet lækket oplysninger om, skriver Troy Hunt i en kommentar til Information.

»Vi har allerede set beviser på, at konti fra MySpace og LinkedIn bliver misbrugt på andre tjenester,« fortæller Troy Hunt.

En af årsagerne til, at det kan ske, er, at folk ofte bruger den samme eller variationer af samme adgangskode til forskellige online tjenester og igennem længere tid.

Er man i besiddelse af en persons adgangskode til én online tjeneste, kan man dermed ofte få adgang til personens konti hos andre online tjenester.

Lorrie Cranor, der er professor på Carnegie Mellon University, forsker i brugen af adgangskoder.

Hun mener, at det er »stort problem«, at folk genbruger deres adgangskoder på tværs af tjenester. Det er Troy Hunt enig i.

»Alle, der genbruger deres adgangskode på tværs af disse tjenester, er i fare,« vurderer han.

De store læk af brugeroplysninger kan blive brugt på mange forskellige måder.

Eksempelvis kan lister med e-mailadresser blive solgt til folk, der ønsker at spamme et stort antal brugere.

Afpresning

Men det kan også forvolde mere alvorlige problemer. Det amerikanske forbundspoliti, FBI, har for nylig oplyst, at folk bliver afpresset som følge af de store læk af brugeroplysninger.

Det foregår typisk på den måde, at et offer bliver truet med, at personlige oplysninger om offeret vil blive offentliggjort, hvis offeret ikke overfører penge til den, der afpresser, i løbet af kort tid.

Lækket fra datingsitet Fling.com indeholder eksempelvis oplysninger om brugernes seksuelle orientering. Det kan bruges til afpresse folk, påpeger Troy Hunt.

Sidste sommer blev der også lækket oplysninger om 30 millioner konti fra datingsitet Ashley Madison, som specialiserer sig i at tilbyde dating til personer, som i forvejen er gift eller i et forhold.

Joe Cannataci, der er FN’s specialrapportør for retten til privatliv, siger til Information, at læk fra sådanne sites kan være »meget alvorlige«.

»Nogle vil endda sige, at konsekvenserne kan være langt mere alvorlige, end hvis folk får stjålet penge fra deres bankkonto,« siger Joe Cannataci.

Flere medier har da også rapporteret om efterfølgende selvmord, som er blevet kædet sammen med lækket fra utroskabssitet. Hvorfor flere af de meget store læk af brugeroplysninger fra sider som MySpace og LinkedIn er dukket op kort efter hinanden, har flere eksperter forsøgt opspore årsagen til.

Troy Hunt har i et blogindlæg spekuleret i, at der må være en eller anden katalysator, der er årsagen. Men ingen eksperter er endnu kommet frem til en dækkende forklaring. Det kan også blot være en tilfældighed.

Faktum er imidlertid, at oplysninger om blandt andet brugernavne og adgangskoder fra de omtalte læk er eller har været til salg på markeder på nettet, hvor alle med en smule teknisk forståelse kan købe oplysningerne.

Man kan eksempelvis købe oplysningerne om de 40 millioner brugere fra datingsitet Fling.com for 0,4 bitcoin, som er en digital valuta. Det svarer til omkring 2.000 kroner.

Mange af de læk af brugeroplysninger, der nu er til salg, er tilsyneladende flere år gamle.

Det betyder, at der potentielt kan være foregået handel med oplysningerne i langt længere tid, før lækket er blevet opdaget.

»At sælge oplysningerne på et åbent marked er nok en af de sidste ting, som de kriminelle gør,« siger Tod Beardsley, der arbejder med it-sikkerhed for firmaet Rapid7.

’Ikke nogen slyngel :-)’

En af dem, der hævder at sælge oplysninger, kalder sig ’Peace’.

På det online marked, hvor ’Peace’ sælger oplysningerne, har han eller hun fået særdeles meget positiv feedback på de solgte produkter.

I et interview med mediet Wired fortæller sælgeren, at oplysningerne fra de forskellige læk er blevet brugt og videresolgt, før de blev sat til salg på det åbne marked.

En anden sælger, som går under navnet ’Tessa88’, hævder også at sælge brugeroplysninger fra flere af de omtalte læk.

Information har kort været i kontakt med personen via en krypteret chattjeneste. Adspurgt hvor meget ’Tessa88’ har tjent på sin forretning, lyder svaret, at det højeste han eller hun har taget for et læk af brugeroplysninger er 10 bitcoins.

»Jeg er ikke nogen slyngel :-),« skriver ’Tessa88’ til Information, inden personen afbryder samtalen.

Spørgsmålet er, hvad der skal gøres, hvis sælgere som ’Peace’ og ’Tessa88’, skal have sværere ved at få adgang til brugeroplysninger, som kan sælges.

For de virksomheder, der oplever læk af brugeroplysninger, er der lige nu ikke nok demotiverende faktorer, der sikrer, at virksomhederne tager læk alvorligt, mener Troy Hunt.

Han mener dog, at de kommende databeskyttelsesregler, som EU har vedtaget, vil være et skridt i den rigtige retning.

Reglerne betyder, at virksomheder kan risikere at skulle betale op til 4 procent af deres globale omsætning, hvis de ikke overholder databeskyttelsesreglerne.

Joe Cannataci, FN’s specialrapportør for retten til privatliv, siger dog også, at brugere kan øve indflydelse ved at stemme med fødderne og vælge online tjenester, der vægter privatliv og it-sikkerhed højt.

»Vi har jo set på det seneste, at firmaer reagerer på et klart ønske fra brugerne om mere privatliv,« siger han.