Læsetid 6 min.

Gigantiske læk fra online tjenester er en trussel mod brugerne

Hundredvis af millioner brugeres adgangskoder og andre oplysninger fra online tjenester er eller har for nylig været til salg på nettet. Kriminelle kan bruge oplysningerne til alt fra afpresning til spam, og de bliver solgt på åbne markeder på nettet til priser, der tilsyneladende ikke virker afskrækkende
Hundredvis af millioner brugeres adgangskoder og andre oplysninger fra online tjenester er eller har for nylig været til salg på nettet. Kriminelle kan bruge oplysningerne til alt fra afpresning til spam, og de bliver solgt på åbne markeder på nettet til priser, der tilsyneladende ikke virker afskrækkende
Johanne Sorgenfri/iBureauet
17. juni 2016

Jeg sad i toget på vej hjem fra Malmø en lørdag aften for nylig og hørte musik med høretelefoner i ørene.

Toget stod af uransagelige årsager stille, jeg var træt og havde drukket øl det meste af dagen, og jeg havde en søndagsvagt dagen efter. Så stemningen var i forvejen ikke ligefrem høj.

Så stoppede musikken. Jeg trykkede play igen. Musikken begyndte igen. Så stoppede musikken igen. Jeg trykkede play igen. Og musikken stoppede kort efter igen.

På min telefon viste det sig, at min konto hos streamingtjenesten Spotify blev brugt til at afspille musik på en anden telefon. Derfor stoppede musikken i min ende.

Den anden telefon, som min konto blev brugt på, havde navnet ’iphone de audrey’. Tilsyneladende benyttede en eller anden person ved navn Audrey altså min spotifykonto til at høre musik.

Egentlig gjorde det mig ikke specielt utryg, at en person havde adgang til min spotifykonto. Så pinlig er min musiksmag heller ikke.

Men da jeg kom til at tænke over, at jeg bruger Facebook til at logge ind på Spotify med, blev jeg en del mere urolig. Det kunne jo betyde, at personen også havde adgang til min facebookkonto.

Koder til salg

Dagen efter skrev jeg til Spotify om sagen. Efter meget kort tid fik jeg et svar fra en af tjenestens pressefolk.

I løbet af en halv time var han kommet frem til, at der skam ikke var noget galt.

Spotify havde undersøgt min konto, og der var ikke nogen mistænkelige spor at finde, fortalte han. Spotify nægter også at være blevet hacket.

Måske er det rigtigt, jeg ved det stadig ikke. Men flere medier har både i år og sidste år rapporteret om, at der på nettet er blevet offentliggjort og solgt spotifybrugeres brugernavne og adgangskoder. Hvordan oplysningerne er endt der, står stadig ikke klart.

Men flere gigantiske læk af brugeroplysninger og adgangskoder fra forskellige online tjenester er i løbet af de seneste måneder kommet til offentlighedens kendskab.

Det handler blandt andet om 360 millioner konti fra det hedengangne sociale netværk MySpace.

Et andet læk omhandler 117 millioner konti fra netværket LinkedIn. Et tredje vedrører 65 millioner konti fra mikroblogging-platformen Tumblr. Et fjerde hævder at være 40 millioner konti fra datingsitet Fling.com.

Og senest i denne uge blev oplysninger om 51 millioner konti fra den nu lukkede fildelingstjeneste iMesh sat til salg – dog uden at oplysningernes er blevet bekræftet endnu.

Usikkert at genbruge

Australske Troy Hunt er en de it-sikkerhedseksperter, der ved mest om sådanne læk. Han har analyseret mange af dem og driver en gratis service, hvor man kan tjekke, om man er blandt de uheldige, hvis oplysninger er blevet lækket.

»Disse læk udgør en trussel for alle brugere,« som der er blevet lækket oplysninger om, skriver Troy Hunt i en kommentar til Information.

»Vi har allerede set beviser på, at konti fra MySpace og LinkedIn bliver misbrugt på andre tjenester,« fortæller Troy Hunt.

En af årsagerne til, at det kan ske, er, at folk ofte bruger den samme eller variationer af samme adgangskode til forskellige online tjenester og igennem længere tid.

Er man i besiddelse af en persons adgangskode til én online tjeneste, kan man dermed ofte få adgang til personens konti hos andre online tjenester.

Lorrie Cranor, der er professor på Carnegie Mellon University, forsker i brugen af adgangskoder.

Hun mener, at det er »stort problem«, at folk genbruger deres adgangskoder på tværs af tjenester. Det er Troy Hunt enig i.

»Alle, der genbruger deres adgangskode på tværs af disse tjenester, er i fare,« vurderer han.

De store læk af brugeroplysninger kan blive brugt på mange forskellige måder.

Eksempelvis kan lister med e-mailadresser blive solgt til folk, der ønsker at spamme et stort antal brugere.

Afpresning

Men det kan også forvolde mere alvorlige problemer. Det amerikanske forbundspoliti, FBI, har for nylig oplyst, at folk bliver afpresset som følge af de store læk af brugeroplysninger.

Det foregår typisk på den måde, at et offer bliver truet med, at personlige oplysninger om offeret vil blive offentliggjort, hvis offeret ikke overfører penge til den, der afpresser, i løbet af kort tid.

Lækket fra datingsitet Fling.com indeholder eksempelvis oplysninger om brugernes seksuelle orientering. Det kan bruges til afpresse folk, påpeger Troy Hunt.

Sidste sommer blev der også lækket oplysninger om 30 millioner konti fra datingsitet Ashley Madison, som specialiserer sig i at tilbyde dating til personer, som i forvejen er gift eller i et forhold.

Joe Cannataci, der er FN’s specialrapportør for retten til privatliv, siger til Information, at læk fra sådanne sites kan være »meget alvorlige«.

»Nogle vil endda sige, at konsekvenserne kan være langt mere alvorlige, end hvis folk får stjålet penge fra deres bankkonto,« siger Joe Cannataci.

Flere medier har da også rapporteret om efterfølgende selvmord, som er blevet kædet sammen med lækket fra utroskabssitet. Hvorfor flere af de meget store læk af brugeroplysninger fra sider som MySpace og LinkedIn er dukket op kort efter hinanden, har flere eksperter forsøgt opspore årsagen til.

Troy Hunt har i et blogindlæg spekuleret i, at der må være en eller anden katalysator, der er årsagen. Men ingen eksperter er endnu kommet frem til en dækkende forklaring. Det kan også blot være en tilfældighed.

Faktum er imidlertid, at oplysninger om blandt andet brugernavne og adgangskoder fra de omtalte læk er eller har været til salg på markeder på nettet, hvor alle med en smule teknisk forståelse kan købe oplysningerne.

Man kan eksempelvis købe oplysningerne om de 40 millioner brugere fra datingsitet Fling.com for 0,4 bitcoin, som er en digital valuta. Det svarer til omkring 2.000 kroner.

Mange af de læk af brugeroplysninger, der nu er til salg, er tilsyneladende flere år gamle.

Det betyder, at der potentielt kan være foregået handel med oplysningerne i langt længere tid, før lækket er blevet opdaget.

»At sælge oplysningerne på et åbent marked er nok en af de sidste ting, som de kriminelle gør,« siger Tod Beardsley, der arbejder med it-sikkerhed for firmaet Rapid7.

’Ikke nogen slyngel :-)’

En af dem, der hævder at sælge oplysninger, kalder sig ’Peace’.

På det online marked, hvor ’Peace’ sælger oplysningerne, har han eller hun fået særdeles meget positiv feedback på de solgte produkter.

I et interview med mediet Wired fortæller sælgeren, at oplysningerne fra de forskellige læk er blevet brugt og videresolgt, før de blev sat til salg på det åbne marked.

En anden sælger, som går under navnet ’Tessa88’, hævder også at sælge brugeroplysninger fra flere af de omtalte læk.

Information har kort været i kontakt med personen via en krypteret chattjeneste. Adspurgt hvor meget ’Tessa88’ har tjent på sin forretning, lyder svaret, at det højeste han eller hun har taget for et læk af brugeroplysninger er 10 bitcoins.

»Jeg er ikke nogen slyngel :-),« skriver ’Tessa88’ til Information, inden personen afbryder samtalen.

Spørgsmålet er, hvad der skal gøres, hvis sælgere som ’Peace’ og ’Tessa88’, skal have sværere ved at få adgang til brugeroplysninger, som kan sælges.

For de virksomheder, der oplever læk af brugeroplysninger, er der lige nu ikke nok demotiverende faktorer, der sikrer, at virksomhederne tager læk alvorligt, mener Troy Hunt.

Han mener dog, at de kommende databeskyttelsesregler, som EU har vedtaget, vil være et skridt i den rigtige retning.

Reglerne betyder, at virksomheder kan risikere at skulle betale op til 4 procent af deres globale omsætning, hvis de ikke overholder databeskyttelsesreglerne.

Joe Cannataci, FN’s specialrapportør for retten til privatliv, siger dog også, at brugere kan øve indflydelse ved at stemme med fødderne og vælge online tjenester, der vægter privatliv og it-sikkerhed højt.

»Vi har jo set på det seneste, at firmaer reagerer på et klart ønske fra brugerne om mere privatliv,« siger han.

Bliv opdateret med nyt om disse emner

Træt af forstyrrende annoncer?

Få Information.dk uden annoncer for 20. kr. pr. måned

Køb

Er du abonnent? Så slipper du allerede for annoncer. Log ind her

Forsiden lige nu

Anbefalinger

  • Brugerbillede for Lise Svendsen
    Lise Svendsen
  • Brugerbillede for Niels Nielsen
    Niels Nielsen
Lise Svendsen og Niels Nielsen anbefalede denne artikel

Kommentarer

Brugerbillede for Jørgen M. Mollerup
Jørgen M. Mollerup

I en artikel med titlen ’Europe’s new privacy shield’ i juninummeret af LMD English Edition, står der bla.
The European Court of Justice (ECJ) ruled on 6 October 2015 that the Safe Harbour agreement between the EU and the US, which was supposed to guarantee the privacy of personal data, was invalid. The annulment was based on a complaint filed by a single individual, the Austrian Max Schrems, who requested in 2010 that Facebook list all the data it had collected about him. Facebook sent him a PDF document more than 1,200 pages long, including data Schrems believed he had already deleted. Schrems asked Irish information security officials to review how the data came to be transmitted from Facebook’s servers in Ireland to the US; from Ireland, the matter was taken to the ECJ.
Læs det lige igen.
Facebook sent him a PDF document more than 1,200 pages long, including data Schrems believed he had already deleted.
Hvor mange data tror du, at de har på andre Facebook brugere.
På dig for eksempel.
Hvad bruger de mon disse data til? Samler de dem for dine blå øjnes skyld?
Hvornår siver det ind, at Facebook og andre sociale medier er grådige monopoler. Pengemaskiner hvis gigantiske overskud havner i skattely.
Kun en tåbe frygter ikke Facebook.

Jens Kofoed, Anne Eriksen, Jonathan Smith, Ebbe Overbye og Anne-Marie Krogsbøll anbefalede denne kommentar
Brugerbillede for Søren Kristensen
Søren Kristensen

Jeg har lige fået en fødselsdagshilsen fra Trendsales, selv om jeg har flueben ved nej tak til samtlige e-mails i min brugerprofil.
På andre sider vinger man unsubcribe og to måneder efter kører det igen. Der er tilsyneladende ingen styring på det eller respekt for de der ting, nogen steder.

Brugerbillede for Arne Lund

I sidste uge skulle jeg logge ind på Netbank . Forgæves - fik at vide, at jeg nylig havde ændret på både Id- og password. Nej, det havde jeg ikke - NO WAY! Så jeg ringede til borger.dk, hvor jeg fik den samme besked. Igen nægtede jeg, at have ændret noget som helst. Borger.dk fastholdt, men ikke særlig overbevisende. Da jeg bad om en forklaring om hvordan den slags kunne ske, så blev det til en lang strobe øh'er og det tror jeg nok og intet system er ufejlbarligt.
Borger.dk ville heller ikke fortælle hvor tit den slags skete for andre - og hvorfor vil de så ikke det?
Nu skal jeg så have nye id og passwords - de blev sendt torsdag med posten, og i dag er det onsdag, og jeg har intet fået med posten, men dog en mail fra Borger.dk, om "hvis du ikke har modtaget den med posten i dag, vil den være fremme i morgen. Dvs. torsdag.
De skynder sig sq ikke i Borger.dk - for nu at sige det mildt.
Nu aner jeg jo ikke, om der er nogern, er har været ved at pille ved min NemId-konto, men jeg synes ikke det er betryggende, at Borger.dk ikke aner en brik om hvad der er sket.
Og jeg er næppe den eneste.