Rammet av massivt passordtyveri

Måtte stenge kontoene til to millioner brukere.

Noe av informasjonen i denne saken har vist seg ikke å være korrekt. Les mer om dette i denne saken.

Torsdag i forrige uke stengte det nederlandske teleselskapet KPN epostkontoene til to millioner kunder. Ifølge nyhetsbrevet til Telenors Sikkerhetssenter var årsaken til dette at selskapet allerede den 27. januar var blitt utsatt for et innbrudd hvor hele eller deler av passorddatabasen til selskapets eposttjenester var blitt kopiert. Stengingen av tjenesten skal ha blitt gjort etter nøye overveielser i samarbeid med nederlandske myndigheter. Men den utløsende faktoren skal ha vært at en del av databasen skal ha blitt offentliggjort på nettstedet pastebin.com. Filen ser nå ut til å være fjernet igjen.

Tyveri av passorddatabaser behøver ikke å være noe stort problem, dersom passordene lagres på en slik måte at det ikke er mulig å gjenskape dem. Det å benytte MD5-hashing anses ikke som tilstrekkelig, og lagring i klartekst er nærmest utilgivelig.

Hvordan KPN faktisk lagret passordene, er uklart, men filen som ble distribuert via pastebin.com skal ha inneholdt mer en 500 kombinasjoner av brukernavn og passord i klartekst. Det er uklart om dette var alt hackerne fikk med seg, eller om hele databasen ble kopiert.

Lørdag begynte KPN å åpne tilgangen til epostkontoene igjen, sammen med en oppfordring kundene om snarest å endre passordet til kontoen. Kunder som bruker det samme passordet også i forbindelse med andre tjenester, for eksempel Facebook, anbefales å endre også disse passordene.

Generelt rådes man til å ha et eget passord for alle tjenester man benytter. Det betyr ikke at passordene må være helt forskjellige. Et godt grunnpassord hvor to-tre av tegnene varierer fra tjeneste til tjeneste kan være tilstrekkelig til å hindre passordtyver i å bruke resultatet av et passordtyveri til å logge inn på brukerens kontoer i andre tjenester.

Blant de lekkede KPN-passordene var gjennomsnittslengden på 8,3 tegn, ifølge NakedSecurity-bloggen til Sophos. Det korteste passordet var på bare fire tegn, mens de lengste var på 13 tegn. Men Sophos-skribenten påpeker at det i dette ikke er passordkompleksiteten som er hovedproblemet, men at det i det hele tatt har vært mulig «å stjele» passorddatabasen.

    Les også:

Til toppen