14/04-11
-
Pressemeddelelse
Lækkede passwords er et voksende problem
I 2007 advarede CSIS om, at danskernes CPR-numre flød rundt på nettet, bl.a. fordi mange danskere ukritisk havde medtaget disse i deres CV, som var gjort tilgængelig via personlige websider eller jobportaler. Efter den brede opmærksomhed, som vores advarsel dengang fik i medierne, har mange ændret deres politik for, hvordan data stilles til rådighed, samtidig med de jobsøgende er blevet betydeligt bedre til at beskytte CPR-nummeret.
I 2011 er problemet af en helt anden og mere alvorlig karakter.
I denne uge gennemførte CSIS Security Group en simpel test, der tydeligt illustrerer, hvordan følsomme data, som stammer fra inficerede maskiner, i bogstavelig forstand sejler rundt på nettet. De mange følsomme data er blevet lækket via virusinfektion, hvorefter it-kriminelle har valgt at publicere de høstede data for alle andre på Internettet. På den måde er i tusindvis af danskeres brugernavne og passwords til populære webservices som Google, Facebook, Live m.fl. blevet offentliggjort og kan med en simpel Google-søgning systematisk indsamles og potentielt misbruges til at opnå adgang til diverse webservices eller FTP-servere.
Det er nemt at høste de lækkede oplysninger. Oplysningerne truer ikke alene privatlivet fred, men gør såvel private brugere som virksomheder lettere mål for mere direkte og fjendtlige angreb fra it-kriminelle.
Vi besluttede os for at undersøge, hvor mange kompromitterede danske brugernavne og passwords, vi på kort tid kunne indsamle igennem en simpel Google-søgning. Resultatet er overvældende og nedslående og dokumenterer, at i tusindvis af danske brugere uden at vide det har fået følsomme logindata postet på nettet, så enhver med adgang til disse kan logge ind og læse eksempelvis ens epost eller gennemføre identitetstyveri på Facebook, LinkedIn eller tilsvarende sociale netværk. Flere brugere, der anvender forskellige webservices i forbindelse med deres arbejde herunder adgang til virksomhedens netværk via f.eks. Citrix og Outlook Web Access, er også at finde blandt de publicerede og tilgængelige data.
Problemet er åbenlyst stadigt voksende, og som det fremgår af medfølgende skærmprint, er det, at udtrække disse data, så let som at gå i tur i haven.
Vi har valgt at sløre, hvordan Google-søgningen i praksis gennemføres. Det gør vi af hensyn til de mange personer, hvis private data er lækket. I mellemtiden arbejder vi målrettet på at få lukket de kompromitterede konti igennem et samarbejde med de implicerede serviceudbydere og ved at henvende os til de implicerede brugere, hvis kontaktoplysninger er åbenlyse.
Relevant information
http://www.csis.dk
Firma
CSIS Security Group A/S
Vestergade 2 A, 3.
1456 København K,
Danmark
88136030
88136030
https://www.csis.dk