Afsløret af kæmpe læk: Politifolk genbrugte interne administrator-passwords hos Adobe

Det historisk store læk af e-mail-adresser og password-hints fra Adobes servere giver mulighed for at se, hvordan danske brugere har forvaltet sikkerheden.

I en dansk analyse af de 38 millioner lækkede brugerkonti kan man se, hvordan brugere hos politiet, PET og Forsvarets Efterretningstjeneste husker deres password. Og det ser umiddelbart ikke alt for sikkert ud.

Analysen, der har en anonym afsender, baserer sig på en sortering af de lækkede data, der er tilgængelige mange steder på nettet nu. I dataene kan man se e-mail-adresse på brugeren samt tips til at huske passwordet. Selve passwordet er krypteret, men de mest almindelige passwords er allerede gennemskuet og dekrypteret af hackerne.

Blandt de 81 e-mail-adresser, der slutter på @politi.dk, har flere valgt at bruge et administrator-password eller deres kode til politiet systemer, viser deres husketip. Andre har nemt gennemskuelige tips som ’hustru’ og ’birgits efternavn’.

Ophavsmanden til gennemgangen advarer imod at bruge vigtige og strengt fortrolige passwords på en side som Adobes.

»Det er MEGET skræmmende at se ’arbejdskode’, ’Administrator password’ og ’admin pass’ som password-hints hos politiet. Hvorfor dog skrive sin arbejdskode på en hjemmeside, man skal bruge én gang for at hente et stykke software?« lyder kommentaren i dokumentet.

Hos Rigspolitiet oplyser kommunikationsrådgiver Carsten Andersen, at man er opmærksom på problemstillingen.

»Vi har sendt en mail til de adresser, der stadig er gyldige, og bedt brugeren om at skifte password,« siger Carsten Andersen til Version2.

Han ønsker dog ikke at komme nærmere ind på, hvilke konsekvenser det har haft, at nogle af brugerne angiveligt har brugt interne administrator-passwords på en ekstern tjeneste.

»Jeg kan ikke sige så meget andet, end at vi har håndteret den problematik,« siger kommunikationsrådgiveren.

Hundenavne og sodavand

Hos Forsvarets Efterretningstjeneste har en bruger valgt tippet ’dogs name’, der også er temmelig nem at gennemskue, men omvendt måske ikke information, en hacker ville kunne finde frem til på nettet.

En ansat hos PET skriver ’sodavand’ som husketip, hvilket indskrænker feltet betragteligt. Kvikke hoveder kan dog have valgt et tip, som ikke har noget at gøre med passwordet, kun for at forvirre fjenden.

Hent Profilanalysen og årets ranglister

Profilanalysen 2023

På listen over danske e-mail-adresser, der er ramt af lækket, er der også to fra Version2, hvor den ene tilhører en medarbejder, der stoppede for over fem år siden. Det samme kan altså gøre sig gældende for de øvrige eksempler på listen - at de for længst er forældede, og at medarbejderen har skiftet password mange gange siden.

»Brug en ’password manager’ (1password, Keepass, Lastpass, etc), og lav tilfældige kodeord til hver tjeneste (genbrug aldrig kodeord), eller sørg for at bruge ligegyldige kodeord (fx ’123456abekat’) til ligegyldige sider/services. Tvinger en side dig til at lave en bruger for at downloade et stykke software, så indtast aldrig dit arbejdskodeord! Så hellere gå med 123456abekat,« lyder rådet fra ophavsmanden til analysen.

Ser man på alle de 404.356 danske e-mail-adresser, der er blevet lækket, har 4.264 valgt kodeordet ’123456’, som er det klart mest populære. Men drengenavne er også højt oppe på listen. Mikkel, christian, oliver, thomas og morten er således alle på Top20. Her er de tilhørende husketips også ganske forudsigelige: Søn, nevø, barnebarn, kæreste og kat, lyder nogle af dem.

Ud fra længden af den krypterede tekst, der rummer selve passwordet, kan man se, om længden på passwordet er på over eller under syv tegn. Og her får sikkerhedsfirmaet CSIS en røffel i analysen. Ud af de ni lækkede brugerkonti har fire således valgt korte passwords. Det ene password er faktisk allerede brudt, men husketippet var også ’min chef’, som altså var nem at gætte.

Version2 har valgt ikke at linke til dokumentet, selvom det er offentligt tilgængeligt på nettet.