En ud af tre borgmestre har fået lækket adgangskoder

8. november 2021 kl. 09:3111
En ud af tre borgmestre har fået lækket adgangskoder
Illustration: digitalista/Bigstock.
En gennemgang viser, at en ud af tre borgmestre og en ud af syv byrådsmedlemmer har fået lækket deres adgangskoder efter, at de har brugt deres kommunale mailadresser til at logge ind på blandt andet sociale medier.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Hver tredje borgmester og hver syvende byrådsmedlem har fået lækket adgangskoder mellem 2012 og 2020.

Det viser en gennemgang fra DR, der har besøgt to hjemmesider, som gemmer på adgangskoder og brugernavne fra store datalæk.

Borgmestrene og byrådsmedlemmerne har fået lækket deres adgangskoder efter, at de har brugt deres kommunale mailadresser til at logge ind på blandt andet sociale medier.

En af dem er Finn Andersen, byrådsmedlem for Kristendemokraterne i Ringsted Kommune, der har brugt kommunens mailadresse til at logge ind på Facebook og LinkedIn.

Artiklen fortsætter efter annoncen

»Jeg er blevet advaret. It-afdelingen har spurgt, om ikke jeg skulle have to forskellige e-mailadresser, men jeg har holdt mig til en,« siger Finn Andersen til DR. Han oplyser samtidig, at han fremadrettet vil bruge en privat mailadresse, skulle han blive genvalgt ved kommunalvalget tirsdag 16. november 2021.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
8. november 2021 kl. 14:15

her burde kommunerne stoppe med at acceptere at politikerne bruger deres kommune e-mailadresser.

Uanset om de bruger samme mailadresse - hvis man går målrettet efter en person og denne genbruger koder samt ikke har 2FA så kan man nå langt.

Hvis mf@stm.dk, mf@socialdemokratiet.dk og levmette@hotmail.com dækker over samme person og denne persons LinkedIn-kode bliver lækket - og det viser sig at samme kode kan tilgå en eller flere af deres konti andre steder, så er det jo underordnet om de har brugt deres "arbejdsmail" på LinkedIn. Det væsentlige er jo koden samt mangel på flere faktorer.

Selvfølgelig begrænser det lidt i de mere automatiserede forsøg som ikke er tilpasset "high value"-mål.

9
8. november 2021 kl. 13:05

Helt enig. Især til systemer der leveres af kommunen. Hvis systemerne ikke understøtter FIDO U2F burde kommunerne kræve det når de indkøber nye systemer.

Mange services understøtter dog stadig ikke FIDO U2F herunder LinkedIn - men her burde kommunerne stoppe med at acceptere at politikerne bruger deres kommune e-mailadresser.

8
8. november 2021 kl. 12:55

Når jeg taler med politikkere fra både folketing og kommunal, så er det mit faste indtryk, at de ser sig selv som en slags bestyrelsesmedlemmer. Altså folk som udstikker retninger og overlader den praktiske opfølgning til borgmestre, ministre og især embedsværket, også selvom enhver leder ved at ”disciplin heiß kontrolle”.

Og taler vi om den enkelte politikkers mærkesag(er), så skal de nok følge op. Problemet er, at ingen politikere ser IT som andet end et værktøj på linje med en regnemaskine. Og det er deri hele problemet består.

En defekt regnemaskine kan let udskiftes – det kan borgernes tab af personlige oplysninger ikke.

Den barske virkelighed er jo, at der ikke går en måned imellem danske offentlige myndigheders tab af borgeroplysninger - som kan benyttes til identitetstyveri.

Det er også den barske virkelighed, at det i realiteten er straffrit for det offentlige at ”tabe” den slags oplysninger.

Det er nødt til at stoppe og vi kan ikke som samfund blive med at gøre - det som ikke virker.

Og uanset om man kan lide det eller ikke, så tegner artiklen ovenfor et billede af en gruppe mennesker, for hvem sikkerhed er ligegyldigt – i den forstand at der er andre emner som (hele tiden) er vigtigere.

Og spørger du ind til sikkerheden, så er det som at ”sømme budding fast på væggen” – for så er vi tilbage til borgmestre, ministre og embedsværket.

7
8. november 2021 kl. 12:51

Iflg. MitID selv er deres nye NFC-token FIDO U2F-kompatibelt, så den kan vel bruges til andre services end MitID. Ville det så ikke være nærliggende at opfordre borgmestrene til at bruge det værktøj* som de alligevel er påduttet om lidt?

*: OK, lige NFC-udgaven er delvist brugerbetalt, og jeg er slet ikke sikker på om den kan bruges til andet end MitID.

6
8. november 2021 kl. 12:49

Og det er vel heller ikke brugen af arbejds-mailadresse, der er skyld i at password er blevet lækket fra diverse ikke-kommunale sites?

Korrekt. Politikernes e-mailadresser er blot bl.a. millioner af konti lækket fra LinkedIn og andre services efter store angreb. LinkedIn angrebet er fra 2012. DR har sikkert indsamlet e-mailadresser på alle politikere i kommunerne, købt en API adgang til https://haveibeenpwned.com/, og lavet et script der tjekker alle e-mailadresser op mod "Have I Been Pwned".

En hver kan tjekke f.eks. fia@ringsted.dkhttps://haveibeenpwned.com/ og se om e-mailadressen er i et kendt datalæk.

5
8. november 2021 kl. 12:39

Og det er vel heller ikke brugen af arbejds-mailadresse, der er skyld i at password er blevet lækket fra diverse ikke-kommunale sites?

Jeg kan i hvert fald ikke se sammenhængen, men mit it-kendskab er helelr ikke særligt stor.

Forhåbentlig er lækkede password ikke de samme, som bruges arbejdsrelateret...

I øvrigt mener jeg slet ikke man bør bruge sin arbejdsmail til private gøremål --- det er vist muligt for de fleste at lave en privat mailadresse og -box hos diverse firmaer. Men det er en helt anden diskussion :-)

4
8. november 2021 kl. 12:20

Kodeordene der er lækket er til de sociale medier, IKKE til de kommunale systemer! Hvis man går f.eks. Linked in igennem, er der nok en stor sammenfald imellem mail-domænet og folks nuværende ansættelsessted, uanset om man er i den offentlige eller i den private sektor.

3
8. november 2021 kl. 11:19

Jeg vil tillade mig at påstå, at de personer (politikere) som artiklen omtaler, overhoved ikke går op i sikkerhed da etablering af f.eks. 2-faktor login ville have elimineret ganske meget.

Jeg er klart med på og enig i at mange af kommunerne burde have et større fokus på at sikre borgernes data, men at hævde at politikerne ikke bruger MFA blot fordi de har fået lækket deres oplysninger gennem et angreb på f.eks. LinkedIn er useriøst.

Det LinkedIn angreb som f.eks. Finn Andersen (Ringsted Kommune) eller Trine Græse (Borgmester i Gladsaxe Kommune) har været ramt af stammer fra 2012. Jf. lidt Googling lancerede LinkedIn først MFA (med SMS-kode) i 2013.... Finn Andersen har f.eks. også været ramt af et MySpace anbreb fra 2008 - tvivler på at MySpace nogen sinde fik MFA.

Og ja, kommunerne bør selvfølgelig ændre politik, så politikerne ikke længere må bruge deres kommunale e-mailadresser til deres private ting. På samme måde som en arbejdsgiver bør stille de samme krav.

2
8. november 2021 kl. 11:14

Jeg er fuldstændig enig med René.

Bøder kan dog reguleres til stadig at være at mærke, men uden at der sker en praktisk omfordeling af ressourcer i de enkelte statslige eller offentlige institutioner, som "blot" har ansat den forkerte person til en toppost eller administrativ stilling el.lign.

Så i praksis ønsker jeg mig mere personlig ansvar fra politikkerne og offentlige ansatte, så de ved brud og overtrædelser kvitterer med nedsat løn, fyring eller et undersøgelseskomittee til at undersøge, hvorfor denne person har lavet den pågældende fejl.

Samtidig kan man sige at det er de offentlige institutioners og organisationers pligt at gøre ansatte bekendte med it-sikkerhed - så hvis det er tilfældet, at det kan bevises, at højtstillede ansatte ikke har modtaget samme awareness-træning eller har haft fået sat effektive sikkerhedsforanstaltninger op, så bør der både falde bøder til den offentlige organisation/institution også.

Men lad os i det offentlige gå mere efter personen, hvis de har modtaget blot den mindste awareness-træning, da man ikke kan påberåbe sig uvidenhed omkring it-sikkerhed i det 21. årh. - i det mindste ikke i en funktion, der tjener folket.

1
8. november 2021 kl. 10:04

Fra tid til anden dukker diskussionen op igen – om det hjælper med bøder til offentlige myndigheder.

Jeg tilhører dem som mener at lighed for loven betyder at lighed betyder lighed.

Så når en person, juridisk person, bestyrelse eller lignende bryder loven – så er det frem med bødeblokken til kommunalbestyrelsens medlemmer, hvis denne adfærd havde givet en bøde til en bestyrelse og tilsvarende.

Selvom artiklen ikke direkte berører bøderne, så har jeg vanskeligt ved at tro, at de omtalte politikere går i IT-sikkerhed for borgere når de ikke gør det for sig selv.

Jeg vil tillade mig at påstå, at de personer (politikere) som artiklen omtaler, overhoved ikke går op i sikkerhed da etablering af f.eks. 2-faktor login ville have elimineret ganske meget.

Jeg mener at vejen frem er personlige bøder til den omtalte personkreds, hver gang en kommune gør noget forkert, som f.eks. når socialforvaltningen lækker 2.000 CPR-numre.

Så frem med bødeblokken!