Jeremiah Fowler er vant til å finne ubehagelige ting på internett. Som sikkerhetsforsker er jobben hans å lete etter hull andre har oversett. Men det han fant i januar fikk selv en garvet ekspert til å stoppe opp: En database med 149 millioner brukernavn og passord, liggende helt åpent på nettet. Ingen kryptering. Ingen passordbeskyttelse. Bare en åpen dør inn til millioner av menneskers digitale liv.
Det verste? Databasen var fortsatt aktiv. Mens Fowler undersøkte den, kunne han se nye passord bli lagt til i sanntid. Noen, et sted, stjal fortsatt passord – og dumpet dem rett inn i en database hvem som helst kunne lese.
Tallene bak lekkasjen
Fowler delte funnene med ExpressVPN, som hjalp med analysen. 48 millioner Gmail-kontoer. 17 millioner Facebook-kontoer. 6,5 millioner Instagram-kontoer. I tillegg millioner fra Netflix, Outlook, Apple og TikTok. Til sammen nesten ni ganger Norges befolkning – bare i Gmail-kontoer.
Og dette er bare én database. Sikkerhetseksperter anslår at det finnes hundrevis av lignende samlinger som sirkulerer i kriminelle miljøer – de fleste langt bedre beskyttet enn denne.
Passordene ble ikke stjålet i ett stort hackerangrep. De ble samlet inn over tid av såkalt «infostealer»-skadevare – små programmer som infiserer PC-er og i det stille stjeler alt de finner. Du laster ned noe som ser legitimt ut, kanskje et «gratis» spill. Innebygd ligger en infostealer som logger alt du skriver, kopierer lagrede passord fra nettleseren, og tar skjermbilder. Alt sendes til en server. Du merker ingenting.
En måned åpen
Det mest frustrerende er tiden det tok. Fowler rapporterte funnet umiddelbart, men det tok nesten en måned før serveren ble stengt. I mellomtiden var den tilgjengelig for alle som visste hvor de skulle lete. Fowler klarte aldri å identifisere eieren – databasen manglet logging eller identifiserende informasjon. Legitime tjenester logger hvem som gjør hva. Kriminelle operasjoner gjør det ikke.
Vil du sjekke om du er rammet, gå til haveibeenpwned.com og skriv inn e-postadressen din. Tjenesten er gratis og samler data fra kjente lekkasjer. Du kan også sjekke spesifikke passord på haveibeenpwned.com/Passwords – passordet hashes lokalt og forlater aldri maskinen din.
Det viktigste tiltaket
Tofaktorautentisering. Selv om noen stjeler passordet ditt, kommer de ikke inn uten tilgang til telefonen din. Det nest viktigste er å slutte å gjenbruke passord – hvis du bruker samme passord på Netflix og Gmail, og Netflix blir hacket, har hackerne plutselig tilgang til e-posten din.
En passordbehandler som 1Password eller Bitwarden løser begge problemene. NSM har også et overraskende råd: Skriv ned passordene på papir. Det høres gammeldags ut, men en notatbok i skuffen hjemme kan ikke hackes over internett. Og til slutt: Kjør en virussjekk. Hvis maskinen er infisert med en infostealer, hjelper det ikke å bytte passord – det nye blir stjålet like raskt.
Kommentarer0