Følsomt: Adgangskoder og mailadresser ligger frit tilgængelige på nettet
Lister kan sælges på det sorte marked.
Adgangskoder og mailadresser tilhørende ansatte i danske myndigheder og organisationer ligger frit tilgængelige i datalæk på internettet.
Det viser en stikprøve, som faktatjekmediet TjekDet har foretaget af databasen Intelligence X.
Databasen er kun en af flere databaser, som indeholder lækkede data fra danske myndigheder, private organisationer eller virksomheder, lagt ud af hackere.
Nogle data er frit tilgængelige, andre handles for penge.
I lækkene finder TjekDet passwords og mailadresser fra blandt andet Forsvarets Efterretningstjeneste (FE), Region Nordjylland, Kriminalforsorgen og Mødrehjælpen.I flere tilfælde fremgår også navne på indehaverne af emailadressen – og i enkelte tilfælde er der tilknyttet telefonnumre og endda kortoplysninger.
Fare for angreb mod FE
Ifølge cybersikkerhedsekspert Peter Kruse kan fundene danne grundlag for alvorlige angreb rettet mod FE.
»Det kan være et afsæt til et angreb, der kan blive endnu værre, fordi man har nogle informationer til rådighed, som kan være guld værd, hvis man skal lave et målrettet og avanceret angreb,« siger han.
Ifølge cybersikkerhedsforsker ved Copenhagen Business School (CBS) Ole Willers kan kombinationen af en enkelt emailadresse og en adgangskode have værdi for personer med ondsindede intentioner.
»Det øger sandsynligheden for, at hackere kan forsøge at trænge ind på forskellige systemer eller platforme, og vi er gennemsnitligt ret dårlige til at have forskellige adgangskoder,« fortæller han.
Eksperterne advarer om, at lækkede oplysninger især kan misbruges i såkaldte social engineering-angreb, som er målrettede forsøg på at narre personer til at udlevere følsomme data.
Derfor anbefaler eksperterne, at man aldrig genbruger den samme adgangskode, og at man har tofaktorgodkendelse på sine logins.
Lister til salg
TjekDet har forelagt fundene for FE, som i et skriftligt svar til oplyser, at det ikke er alle oplysninger i FE, der er klassificerede.
»Der skelnes altid mellem, om indholdet af en e-mail indeholder klassificerede oplysninger eller ej, inden den sendes, og FE har derfor flere forskellige mailsystemer alt efter klassifikationsgrad. FE be- eller afkræfter af princip aldrig tidligere eller nuværende medarbejderes eventuelle tilknytning til tjenesten. Af samme årsag kan vi ikke kommentere alvorsgraden af oplysningerne. FE tager dog altid læk af oplysninger om tjenesten alvorligt og vurderer i hvert tilfælde, om der er tale om sensitiv information,« skriver FE.
Region Nordjylland svarer, at de er opmærksomme på de lister over lækkede passwords, der findes på internettet, og at de monitorer dem og handler derefter.
Samme besked lyder fra Kriminalforsorgen, som skriver, at de løbende scanner for, om koder er omfattet af datalæk. Hvis kodeord er omfattet af datalæk, bliver adgangen spærret, indtil kriminalforsorgens bruger har skiftet kodeord.
Kriminalforsorgens systemer er i øvrigt kun tilgængelige ved at bruge flerfaktor-autentifikation. skriver Kriminalforsorgen til TjekDet.
Mødrehjælpen svarer, at de ikke er bekendt med, at der skulle være sket datalæk forbundet med medarbejderes e-mailadresser og kodeord.
»Vi har ikke set tegn på, at disse data er blevet misbrugt, men det er naturligvis stærkt beklageligt, hvis vi har været sårbare overfor hackere. Mødrehjælpen arbejder aktivt med it-sikkerhed, og vi har over de seneste år løbende strammet op, herunder skærpet vores password-politik og indført tofaktorlogin,« skriver Mødrehjælpen.
Markedet for lækkede oplysninger er enormt. På platforme som BreachForums kan lister med følsomme data købes for få hundrede dollars, men TjekDet har også fundet lister til knap 20.000 kroner.
Listerne kan sælges til mange forskellige købere, så der er tale om kriminalitet med store fortjenester.
Ifølge Ole Willers er cyberkriminalitet i dag verdens mest profitable form for organiseret kriminalitet.