Danske politikeres kodeord frit tilgængelige på nettet

Flere danske politikere og ansatte i Folketinget optræder på lister over lækkede kodeord.

Login-oplysninger tilhørende ansatte i Folketinget, folketingsmedlemmer og ansatte i politiske partier ligger frit tilgængelige på nettet.

Det oplyser Berlingske Tidende.

Mediet har i samarbejde med Kjeld Norman fra it-sikkerhedsvirksomheden Dubex blandt andet sammenkørt endelsen @ft.dk - altså Folketingets officielle maildomæne - med kendte lister over lækkede login-oplysninger fra tidligere angreb mod diverse onlinetjenester. 10 folketingsmedlemmer og over to hundrede ansatte i Folketinget dukkede på den baggrund. Derudover var der flere mailadresser tilhørende ansatte i de politiske partier.

Listerne med datalæk er altså ikke resultatet af angreb mod hverken partier eller Folketinget, men stammer fra datalæk fra andre tjenester. Eksempelvis Fling. ZDNet har tidligere oplyst, hvordan 1,5 mio. Fling-brugere fik lækket deres oplysninger tilbage i 2016.

Tidligere på året kom det frem, hvordan gigantiske samlinger af kodeord var lagt på nettet. Samlingerne er benævnt Collection #1 og Collections #2-5.

Læs også: Medie: 2,2 milliarder lækkede logindata flyder frit på nettet

Berlingske kan i øvrigt oplyse, at flere partier har brugt parti-mailen til at logge på netop Fling.

Udover at få sin personlige identitet eksponeret ved den slags læk, så kan det også være et problem, hvis det samme brugernavn og kodeord bliver brugt i andre tjenester, som hackere så kan få adgang til på baggrund af oplysningerne fra lækket.

Ifølge Berlingske kan det ikke lade sig gøre via de lækkede kodeords-oplysninger at få adgang til Folketingets mailsystem, der er »beskyttet på anden vis.«

2-faktor-autentifikation - som eksempelvis NemID's nøglekort - kan være en måde at øge sikkerhedsniveauet på, så et lækket brugernavn og kodeord ikke i sig selv giver hackere adgang til et system.

Folketingets it-chef Johanne Albjerg oplyser til Berlingske, at Folketinget overvåger i forhold til lækkede lister med kodeord. Men ifølge it-chefen er der ingen regler mod at bruge ft.dk-adresser som login sammenhænge, som ikke har noget med Folketinget at gøre.

»Alle vores brugere er instrueret i sikker anvendelse af passwords i overensstemmelse med Folketingets IT-sikkerhedspolitik. Folketinget gennemfører desuden løbende awareness-træning med obligatoriske undervisningsprogrammer og overvåger baser over lækkede password,« siger Johanne Albjerg i en skriftlig kommentar til Berlingske.

Sikkerhedsmanden Troy Hunt driver en tjeneste på haveibeenpwned.com, hvor det er muligt at se, om ens mailadresser optræder i kendte læk af login-oplysninger. Det var iøvrigt også Troy Hunt, der gjorde offentligheden opmærksom på Collection #1.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Det tror jeg næppe du får et svar på Anne Marie Krogsbøll - det er jo strengt fortroligt og dybt hemmeligt. På den måde undgår Center for Cybersikkerhed behændigt at svare på ubehagelige spørgsmål og henviser til at det kan man ikke udtale sig om grundet hensynet til statens sikkerhed.
I morgen publiceres i Version2 min gæsteblog, der på skuldrene af Tobias Liebetraus fremragende tre gæsteblogs de sidste uger, skitserer løsningsmuligheder på, hvordan vi i meget større grad kan få gavn af de mange penge og ressourcer, der allerede bruges, men som vi alligevel ikke får noget ud af med de nuværende løsninger.

Hans Nielsen

stod meget højt opå deres to-do-list at holde øje med og beskytte.


Hvorfor skulle de det, når forsvares egne mail og data, ikke en gang er beskyttet på betrykkende vis :-(

Før denne sag, var der der en om usikkert mail, som kunne være fohindret, hvis bare en person som kunne sit job, have brugt 10 minuter på det i forsvaret.

https://www.version2.dk/artikel/laek-personlige-oplysninger-databrudsram...

PS: De fleste pengene til Center for Cyber Sikkerhed går, formoder jeg, indtil vi får andet oplyst. Går til store chefløninger, bonuser, privat kørsel og sjov, samt til den årlige Julefrokost.
Hvis der bliver lidt til overs efter det, så går resten til at overvåge befolkning. Samt hvis Claus Hjort beder om det, måske 20$ til et DOS angreb på Rusland.

René Nielsen

Problemet er at en stigende del af vores liv leves digitalt – ligesom stadig flere offentlige systemer er på ”vej på nettet”!

Derfor betyder det noget;
1) At folketingsmedlemmer og ansatte i politiske partier logins ligger frit tilgængelige på nettet.
2) At Center for Cybersikkerhed lever i et afsondret univers, som bedst kan beskrives som værende ”udenfor pædagogisk rækkevidde”.

Jeg har vanskeligt ved at forstille mig, at folketingspolitikere tænker IT-sikkerhed ”ind i løsningen” når de samme personer anvender samme logins og passwords på tværs af platforme.

Jeg har også vanskeligt ved at forstille mig, at CFCS får noget ud af at aflytte danske virksomheder og de andre fancy ting de laver – for jeg tror ikke på at det er muligt at opnå et overblik over samfundets IT når institutioner som folketinget ikke en gang har 2-faktor login.

Samfundet ville derimod få en hel masse ud af, at CFCS opstillede genelle retningslinjer for hvordan en server skal drives.

Det kunne f.eks. være tvungen brug af 2-faktor login, tvungen brug af kryptering på 256 bit, tvungen brug af stærk kryptering ved visse (finansielle) services, tvungen brug af DMARC, forbud imod af virusscannere sender indhold af e-mail til fremmede servere, osv.

En ISP eller en virksomhed som ikke overholder disse retningslinjer skal kunne idømmes bøder, tvangsnedlukkes osv.

Jeg ved godt at min liste ikke er fancy, men samfundet og især ikke IT-kyndige borgere ville få meget ud af, at det lige pludselig er meget vanskeligere at begå IT kriminalitet og identitetstyveri.

Povl H. Pedersen

Der er mange der taler om 2-faktor login som en løsning på phishing.
Det er det i de fleste tilfælde ikke.

Såfremt man kan lokke medarbejder X til at indtaste password og godkende en MFA challenge i real-time, så kan hackeren logge på, få en logon token, og være på i op til typisk 30 dage.

MFA der ikke er hackbar inkluderer eksempelvis certifikater, men MFA der viser hvor login foretages fra kunne være en anden mulighed (Som Apple's iCloud logins). Eller man kunne checke om Location Services på MFA enheden giver ca. samme GPS koordinater som serverens GeoIP lookup (Vil besværliggøre, ikke umuliggøre, phishing fra udlandet).

Fido2 tokens skulle også umuliggøre phishing. Windows 10 (måske med TPM chip ?) kan lege Fido2. iOS devices kan ikke endnu.

Nyeste er passwordless logons. Microsoft løsningen fungerer ikke, da man kan "downgrade" til passwords. Og derudover kan en 3die part vist initiere et login der så dukker op hos ofret, som med 33% sandsynlighed klikker det rigtige tal.

Log ind eller Opret konto for at kommentere