Afsløret af kæmpe læk: Politifolk genbrugte interne administrator-passwords hos Adobe

Flere politifolk genbrugte interne administrator-passwords som adgangskode til Adobe-tjeneste. Og andre passwords er meget lette at gætte, viser analyse af lækkede data.

Det historisk store læk af e-mail-adresser og password-hints fra Adobes servere giver mulighed for at se, hvordan danske brugere har forvaltet sikkerheden.

I en dansk analyse af de 38 millioner lækkede brugerkonti kan man se, hvordan brugere hos politiet, PET og Forsvarets Efterretningstjeneste husker deres password. Og det ser umiddelbart ikke alt for sikkert ud.

Analysen, der har en anonym afsender, baserer sig på en sortering af de lækkede data, der er tilgængelige mange steder på nettet nu. I dataene kan man se e-mail-adresse på brugeren samt tips til at huske passwordet. Selve passwordet er krypteret, men de mest almindelige passwords er allerede gennemskuet og dekrypteret af hackerne.

Blandt de 81 e-mail-adresser, der slutter på @politi.dk, har flere valgt at bruge et administrator-password eller deres kode til politiet systemer, viser deres husketip. Andre har nemt gennemskuelige tips som ’hustru’ og ’birgits efternavn’.

Ophavsmanden til gennemgangen advarer imod at bruge vigtige og strengt fortrolige passwords på en side som Adobes.

»Det er MEGET skræmmende at se ’arbejdskode’, ’Administrator password’ og ’admin pass’ som password-hints hos politiet. Hvorfor dog skrive sin arbejdskode på en hjemmeside, man skal bruge én gang for at hente et stykke software?« lyder kommentaren i dokumentet.

Hos Rigspolitiet oplyser kommunikationsrådgiver Carsten Andersen, at man er opmærksom på problemstillingen.

»Vi har sendt en mail til de adresser, der stadig er gyldige, og bedt brugeren om at skifte password,« siger Carsten Andersen til Version2.

Han ønsker dog ikke at komme nærmere ind på, hvilke konsekvenser det har haft, at nogle af brugerne angiveligt har brugt interne administrator-passwords på en ekstern tjeneste.

»Jeg kan ikke sige så meget andet, end at vi har håndteret den problematik,« siger kommunikationsrådgiveren.

Hundenavne og sodavand

Hos Forsvarets Efterretningstjeneste har en bruger valgt tippet ’dogs name’, der også er temmelig nem at gennemskue, men omvendt måske ikke information, en hacker ville kunne finde frem til på nettet.

En ansat hos PET skriver ’sodavand’ som husketip, hvilket indskrænker feltet betragteligt. Kvikke hoveder kan dog have valgt et tip, som ikke har noget at gøre med passwordet, kun for at forvirre fjenden.

På listen over danske e-mail-adresser, der er ramt af lækket, er der også to fra Version2, hvor den ene tilhører en medarbejder, der stoppede for over fem år siden. Det samme kan altså gøre sig gældende for de øvrige eksempler på listen - at de for længst er forældede, og at medarbejderen har skiftet password mange gange siden.

»Brug en ’password manager’ (1password, Keepass, Lastpass, etc), og lav tilfældige kodeord til hver tjeneste (genbrug aldrig kodeord), eller sørg for at bruge ligegyldige kodeord (fx ’123456abekat’) til ligegyldige sider/services. Tvinger en side dig til at lave en bruger for at downloade et stykke software, så indtast aldrig dit arbejdskodeord! Så hellere gå med 123456abekat,« lyder rådet fra ophavsmanden til analysen.

Ser man på alle de 404.356 danske e-mail-adresser, der er blevet lækket, har 4.264 valgt kodeordet ’123456’, som er det klart mest populære. Men drengenavne er også højt oppe på listen. Mikkel, christian, oliver, thomas og morten er således alle på Top20. Her er de tilhørende husketips også ganske forudsigelige: Søn, nevø, barnebarn, kæreste og kat, lyder nogle af dem.

Ud fra længden af den krypterede tekst, der rummer selve passwordet, kan man se, om længden på passwordet er på over eller under syv tegn. Og her får sikkerhedsfirmaet CSIS en røffel i analysen. Ud af de ni lækkede brugerkonti har fire således valgt korte passwords. Det ene password er faktisk allerede brudt, men husketippet var også ’min chef’, som altså var nem at gætte.

Version2 har valgt ikke at linke til dokumentet, selvom det er offentligt tilgængeligt på nettet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jes Andersen

hjælper dig faktisk ikke så meget her da adobe ikke kun har gemt en hashværdi
Disse kodeord er symmetrisk krypteret med en fælles nøgle, så hvis en angriber kan lure blot 1 af de mange passwords kan de bruge brute force til at finde den fælles nøgle

Derefter har de samtlige kodeord i plaintext inkl din :/

så...hvis koden er brugt noget andet sted så skift den ;)

  • 1
  • 0
Claus Jacobsen

tja - var nu godt klar over min var blandt (og der var åbenbart 1 person der havde samme password som jeg). Men det er nu efterhånden temmelig lang tid siden Adobe selv sendte mail ud til alle brugere om at resette deres password - så med mindre man ikke har gjort dette - burde man nok tage den her med sindsro :-)

  • 0
  • 0
Benni Bennetsen

Mit kodeord var også enorm ringe, det var bare "friadgang", til adobe .. Og det var jo netop i tilfælde af, at dette skulle ske, at så var der et nemt total ligegyldigt kodeord som jeg ikke bruger på sider med reelt indhold, jeg kan ikke se problemet, jeg havde jo intet af værdi derinde, intet hemmeligt og det havde FET, PET osv nok heller ikke... :)
Genbrug indikerer igen netop at kodeordet nok ikke lige er til en eller anden super hemmelig mailbox ..

  • 1
  • 0
John Vedsegaard

Men, Adobe burde have sendt mit en mail øjeblikkeligt så jeg selv viste det, frem for at jeg får det at vide gennem pressen.

Normalt vil alle mine passwords blive udskiftet med jævne mellemrum, hvis længde jeg naturligvis heller ikke fortæller om.
Ved et rent tilfælde, var det lige tid til at jeg alligevel skulle skifte password, så der ville ikke være sket nogen skade.
Desuden har jeg aldrig handlet direkte med Adobe, så de har ikke mine bankoplysninger.
Yderligere anvender jeg ikke deres "sky", heller ikke i den gratis version, dette alene på grund af usikkerheden ved at lade andre administrere mine data.

Havde jeg været på en lang ferie, et sted hvor jeg ikke kan kommunikere via internet, ville muligheden for et stort tag selv bord være tilstede.

Man kan jo også søge på sit password på nettet, der findes sites som offentliggør hvordan det ser ud krypteret og ikke krypteret, er det ikke ret langt vil det helt sikkert være offentliggjort allerede. (men pas på hvad du klikker på for nogle sider).

  • 0
  • 0
Finn Carl Sørensen

Løsningen er jo et helt andet - adgangs-system end alle disse tåbelige kombinationer, som hvis De er nemme, er så nem at gætte for andre! Der må da være intelligente personer som kan finde på noget - som forhåbentlig ikke er i stil med "Nem.ID"!!! Irisanalyse, aflæsning af en persons øre, sammensætning af udåndingsluft, eller lignende. Og hvis jeg skulle skifte Password for hver adgang - måned - You name it - så kom jeg da aldrig ind nogen steder, for det kan jeg ikke huske hvad er.

  • 1
  • 1
Log ind eller Opret konto for at kommentere