Danskernes passwords flyder rundt på nettet
Tusindvis af danskere render rundt med en tikkende bombe i lommen. Deres passwords til alverdens tjenester er blevet lækket via en virusinfektion hvorefter it-kriminelle har valgt at publicere de høstede data for alle andre på internettet.
Det skriver sikkerhedsfirmaet CSIS, der i denne uge har gennemført en simpel test, der tydeligt illustrerer, hvordan følsomme data, som stammer fra inficerede maskiner, i bogstavelig forstand sejler rundt på nettet. Resultatet af testen viser, at i tusindvis af danskeres brugernavne og passwords til populære webservices som Google, Facebook, Windows Live med mere blevet offentliggjort at it-kriminelle, og at en simpel Google-søgning systematisk kan indsamle disse for at opnå adgang til diverse webservices eller FTP-servere.
»Vi besluttede os for at undersøge, hvor mange kompromitterede danske brugernavne og passwords, vi på kort tid kunne indsamle igennem en simpel Google-søgning. Resultatet er overvældende og nedslående og dokumenterer, at i tusindvis af danske brugere uden at vide det har fået følsomme logindata postet på nettet, så enhver med adgang til disse kan logge ind og læse eksempelvis ens epost eller gennemføre identitetstyveri på Facebook, LinkedIn eller tilsvarende sociale netværk. Flere brugere, der anvender forskellige webservices i forbindelse med deres arbejde herunder adgang til virksomhedens netværk via f.eks. Citrix og Outlook Web Access, er også at finde blandt de publicerede og tilgængelige data,« skriver CSIS i pressemeddelsen.
Som dokumentation medsender CSIS et skærmdump, der angiveligt viser, hvor let det er at udtrække dataene. CSIS har dog ? af hensyn til de kompromitterede personer - valgt at sløre, hvordan Google-søgningen i praksis gennemføres.
»I mellemtiden arbejder vi målrettet på at få lukket de kompromitterede konti igennem et samarbejde med de implicerede serviceudbydere og ved at henvende os til de implicerede brugere, hvis kontaktoplysninger er åbenlyse,« skriver CSIS.
Kommentarer (7)
Det var dog et forfærdeligt dårligt forsøg på at skjule søgningen.
For det første så highlighter Google et par af søgetermerne som CSIS har forsøgt at skjule, "Url/Host:" og "Date:".
For det andet så er det let at finde et enkelt af deres resultater og selv se hvad man kan søge på.
Det ses hurtigt at resultaterne er formateret som for neden og at CSIS har søgt på felt-titlerne.
Program: Internet Explorer
Url/Host: http://www.facebook.com/
Login: tlimkild@limkxxxxxxxxdes.dk
Password: xxxx
Computer: IBM
Date: 2011-03-20 07:08:56
Ip: 83.89.xxx.xxx
-
0 -
0
Så faldt jeg igen i v2s leksikon. Hvorfor kan I ikke bare bruge hyperlinks som alle andre :/
-
0
-
0
hehe ;)
Det spottede jeg også - det eneste der gjorde det svært er at billedet er uploadet i elendig kvalitet.
Flot klaret af et sikkerhedsfirma.
-
0
-
0
Pointen var i grunden ikke at skærme søgningen af, men at dokumentere at der er et konkret problem, og at det er åbenlyst. Dette blot et af mange søge eksempler.
Det er umuligt at dokumentere sådanne ting uden at fremvise nogle konkrete data og de ville være ubrugelige om man censurerede det hele.
Venligst
Peter
-
0
-
0
Hold nu op med det sludder! En identitet kan ikke stjæles! Den kan efterlignes og misbruges, men for at noget er stjålet må ejeren mangle det. Det er definitionen.
Ja, nogen har helt ubeskyttet deres login og password liggende på obskure undersider hvor søgemaskiner kan finde dem.
Der er også folk der har pin-koden på deres betalingskort skrevet ned på et papir liggende i deres pung sammen med kortet.
Dumhed eksisterer.
Årets nyhed.
-
0
-
0
Giver det ikke mere mening at fortælle præcist hvordan søgningen udføres, så vi alle sammen kan checke om vores data er lækket?
-
0
-
0
Prøv, at søge efter dit logind navn og se hvor det dukker op henne. Har man et meget almindeligt logind navn, så bliver dette mere besværligt.
-
0
-
0
Tilføj kommentar
