Sverige rystes denne uken av det som omtales som en av de mest omfattende datalekkasjene landet har vært utsatt for.
På tirsdag ble det kjent at 93.000 brukerkontoer fra den populære nettjenesten Bloggtoppen.se var lekket på nettet. Nettstedet som nå er stengt melder at hele deres database med brukernavn, e-postadresser og hash-kodede passord er stjålet.
Men denne lekkasjen er bare toppen av isfjellet.
Kontoopplysninger fra ytterligere 57 nettsteder er på avveie. Totalt er nå nesten 180.000 brukerkontoer på avveie, inkludert personnummer i enkelte tilfeller, skrev Aftonbladet i går.
Det er uklart når nettstedene ble angrepet, men detaljene skal ha vært publisert av pseudonymet «sc3a5j» på Twitter allerede fra midten av august, og senere i slutten av september.
Sakene ble kjent for svensk presse først tirsdag denne uken, da noen publiserte lekkede detaljer gjennom Twitter-kontoen til riksdagspolitikeren William Petzäll (27), som har hoppet av fra det høyrepopulistiske partiet Sverigedemokraterna.
Petzäll er politianmeldt for lekkasjene som blant annet rammet journalister i Expressen og Aftonbladet, men er selv tvangsinnlagt for misbruk av medikamenter og alkohol - og nekter for å stå bak publiseringen. Ifølge Aftonbladet har han verken tilgang til datamaskin eller telefon.
Som om det ikke var nok er også hele databasen til nettstedet Gratisbio.se lekket. Den inneholder e-postadresser og helt ukrypterte passord til nær 210.000 brukere, melder ComputerSweden.
- Kunne like gjerne skjedd i Norge
Sikkerhetsekspert Per Øyvind Thorsheim i EDB Ergogroup sier til digi.no at lekkasjene like gjerne kunne rammet norske nettsteder.
- Det er synd og dumt at slikt skjer og veldig trist for de som blir berørt. For å være helt ærlig, hvilken sikkerhet forventer du av en slik gratistjeneste som har vært drevet av en enkeltperson som et hobbyprosjekt, sier Thorsheim som har fulgt saken.
Thorsheim har fanget opp lekkasjene på Twitter, og merket seg at i Bloggtoppens database var passordene sikret med MD5-hash, men uten salting.
- MD5 er i utgangspunktet en dårlig algoritme å bruke til passordhashing i dag. Det som ikke var gjort, og som er typisk, er at det ikke er brukt salting i hashingen. Det gjør det veldig enkelt å knekke passordene.
123456
Et annet forhold han fremhever er at nettstedet ser ut til å ha hatt få eller ingen krav til passordenes lengde eller kvalitet.
- Med passord på bare to tegn blir det nesten hoderegning å se hvor mange kombinasjoner som er mulig. Dessuten kan du med moderne grafikkort i dag gjøre 700 millioner passord-beregninger i sekundet. Det meste brukte passordet på Bloggtoppen er «123456».
Sikkerhetseksperten sier han selv har startet å knekke passordene, som ledd i sin egen forskning, men forsikrer at han ikke har noen ambisjoner om å utnytte eller utlevere informasjonen.
Thorsheims klare oppfordring til nettstedeiere er å sørge for at det er innført krav til kvalitet og lengde på passordene brukerne kan velge seg. I tillegg må passordene krypteres med salting.
Som sluttbruker er det god praksis å benytte unike passord på hver eneste nettjeneste man er registert på.
- Statistisk vet vi at så mange som 40 prosent gjenbruker passordet sitt på tvers av ulike nettjenester. Det er alvorlig. Konsekvensene kan bli stor hvis noen utnytter det i stor skala, sier EDB Erogroups sikkerhetsmann.