Passordlekkasje

Funnet av en enorm samling med 1,4 milliarder par brukernavn og passord i klartekst, som nå sirkulerer på internett, har utløst en rekke advarsler.

Nå viser det seg at veldig mange nordmenn og norske virksomheter er berørt.

Gunnar Ugland leder Telenors sikkerhetsovervåkningssentral TSOC. Han forteller at dataene i stor grad er en sammenstilling av en rekke eldre lekkasjer som er 5-7 år gamle, men at noe også er av nyere dato.

– Analytikerne våre har funnet 450.000 norske epostadresser i den sammenstilte databasen. Dette er fordelt på rundt 46.000 norske domener. Det er absolutt store tall, sier Ugland til digi.no.

Varslet kundene

TSOC er et sentralt sikkerhetsmiljø for Telenor, men de har også eksterne kunder som de blant annet bistår med å varsle om sikkerhetsbrudd.

– Vi har gitt tilbakemelding i de tilfeller vi har fanget opp at kundene figurerer på den typen lister, sier Ugland.

– Det gjør vi kontinuerlig som en del av tjenestene våre.

600 berørt i NRK

Lekkasjen omfatter 600 ansatte i NRK, som har fått brukernavn og passord eksponert i klartekst. Samtlige av disse mottok i går en tekstmelding med instruks om å bytte passord.

– I NRK er det rutine at vi ber medarbeidere endre passord når vi har indikasjon på at brukernavn og passord er kjent for uvedkommende, sier Rita Nottveit, NRKs seksjonsleder for sikkerhet og beredskap til digi.no.

Informasjonen er også publisert på NRKs intranett. Ifølge Nottveit er beskjeden koblet opp mot den nevnte lekkasjesaken, som er omtalt tidligere denne uken og er verdensomspennende.

– I forbindelse med denne omtalen av denne lekkasjesaken har vår samarbeidspartner Telenor SOC gjort oss kjent med at ansatte i NRK også har brukernavn på den lista, sier Nottveit.

– Da gjør vi bare som rutinen tilsier, og ber medarbeiderne om å endre passord. Det er ingen dramatikk i dette eller en indikasjon på at noe ulovlig faktisk har funnet sted, sier hun.

Føre var

– Må alle ansatte bytte passord?

– Bare de som er berørt, altså de som har brukernavnet sitt på den listen. Det at de har navn og passord på den lista betyr ikke at de nødvendigvis bruker samme passord i dag, sier Nottveit.

– Passordet kan være fra flere år tilbake, eller de kan ha byttet passord i mellomtiden.  For alt vi vet kan det være at ingen er direkte berørt. Men vi tar ikke sjansen på det og ber derfor folk bytte passord. 

Det er uklart hvor lekkasjene stammer fra, men ofte dreier det seg om hackede nettjenester. Den omtalte databasen skal som nevnt være en sammenstilling av en lang rekke hendelser, og mye er gammelt.

– Hvilke av NRK sine systemer er berørt?

– Ingen av NRK sine systemer er berørt. Vi har bare konsentrert oss om å be berørte ansatte om å bytte passord. Når først et brukernavn og passord er det ute, så er det viktigste å ta tak i det umiddelbart.

– Den vanligste årsaken til at brukernavn kommer på avveie er at disse noen ganger blir brukt til ikke-jobbrelaterte tjenester, forteller Nottveit.

Have I been pwned er en tjeneste laget av den australske sikkerhetseksperten Troy Hunt. Tjenesten har indeksert drøyt 4,8 milliarder epostadresser og brukernavn fra flere hundre kjente datalekkasjer. 

Du kan søke opp blant annet dine egne passord og epost-adresser. Ved treff gis det opplysninger om hvilke sikkerhetsbrudd du er rammet av, blant annet med navn på nettjenesten som er hacket og når dataene ble stjålet og offentliggjort.

To-faktor

Det klare rådet er som NRK har gitt sine berørte ansatte å bytte passord. Alle sikkerhetseksperter advarer dessuten mot å gjenbruke passord på tvers av flere tjenester, fordi det øker risikoen for at uvedkommende kan bryte seg inn.

Gunnar Ugland i TSOC benytter anledning til å minne om to-faktor autentisering, som er anbefalt som et ekstra sikkerhetsledd.

Mange kjente nettjenester tilbyr i dag to-faktor autentisering, men ofte må brukeren selv sørge for å aktivere det.

Ved innlogging til tjenester som tilbyr dette, så holder det ikke med brukernavn og passord. Da må man benytte en ekstra faktor, typisk med kodebrikke eller en tekstmelding.

Bredt samarbeid

Vi spurte Ugland om sikkerhetssentralen han leder og hvordan de jobber med å analysere en sammenstilt databasen med 1,4 milliarder lekkede kontoropplysninger.

– Det er flere svar på det. Vi samarbeider med NorCERT og andre miljøer innenfor sikkerhet både i Norge og internasjonalt, sier Ugland.

– I Norge har vi et tverrsektorielt samarbeid, samt også samarbeid internt. Det er flere sikkerhetsmiljøer i Telenor, hvor vi er miljøet som har analytikere på døgnkontinuerlig vakt.

Det er både automatikk og verktøy, men også manuelt arbeid involvert i arbeidet med å analysere den enorme passordlekkasje vi har vært vitne til.

• Les også: Hackere sier de har ødelagt 10 millioner usikre enheter koblet til internett