»Åh nej. Åh nej. Det er løgn.« Sådan lød det, da en journalist Jyllands-Posten (som denne artikel også er citeret fra) meddelte politiker Alex Ahrendtsen (DF), at hans kodeord til Dropbox og LinkedIn var blevet lækket.
»Der kan jo ligge alle mulige dokumenter i de forskellige systemer, som er hemmelige eller fortrolige,« siger Alex Ahrendtsen.
Reaktionen er sådan set helt forståelig, for en Dropbox-konto kan indeholde kæmpe mængder af fortroligt indhold. Indhold, som i politikeres tilfælde kan have store konsekvenser, både for dem selv og deres parti.
Derudover er politikeren vel sagtens lige så skyldig som enhver anden i at genbruge passwords, så potentielt kan der være adgang til langt flere tjenester end blot Dropbox.
Den samme reaktion havde Enhedslistens Pelle Dragsted da også, da Jyllands-Posten informerede ham om, at hans kontooplysninger på Dropbox var blevet lækket.
»Det er fortrolige ting i partiet og klart ting, som ville være problematiske, hvis de var kommet ud til f.eks. politiske modstandere. Det er strategiske oplæg og papirer om, hvordan vi håndterer bestemte diskussioner,« siger han.
Læk i 2012
Mange af de lækkede kodeord stammer fra Dropbox-lækagen i 2012. Her blev omtrent 68 mio. brugeres passwords og mails lækkede. Heriblandt var så de føromtalte 27 nuværende medlemmer af Folketinget, heriblandt tidligere udenrigsminister Kristian Jensen (V), skatteminister Karsten Lauritzen (V) og Morten Østergaard (R). I alt drejer det sig om 50 politikeres oplysninger, som er blevet lækkede.
Jyllands-Posten fandt frem til politikerne, da de havde registreret sig med deres arbejdsmail, som alle har endelsen '@ft.dk'.
Men oven i de 27 Dropbox-konti, som Jyllands-Posten har fundet frem til, kommer også 29 profiler på LinkedIn og ni på Adobe. Alle tre tjenester har på et tidspunkt være kompromitteret og har fået lækket store mængder af data.
Ingen af de implicerede er blevet informeret af Folketingets it-afdeling, som da heller ikke har ønsket at udtale sig til Jyllands-Posten. Ej heller har de ifølge Trine Bramsen (S) fået nogen internetregler udleveret i forhold til at bruge tjenester som eksempelvis Dropbox eller LinkedIn.
Giraf123 og sodavand som ikke er coke
På Version2 har vi flere gange omtalt vigtigheden af at have et stærkt password. Men Jyllands-Posten har været inde på pastebin.com og fundet frem til nuværende og tidligere PET-medarbejderes lækkede passwords.
De fleste er lagt op af en bruger, som går under navnet 'Nikolai'. Og selvom kodeordene er krypterede, står der ved siden af dem hints såsom 'dogname' og 'not coke'. Et enkelt sted analyserer Nikolai sig frem til, at der nok er tale om en medarbejder ved PET, som bruger passwordet 'pepsimax'.
Ved Kaspersky har man da også fuldstændig forbudt brugen af Dropbox for sine medarbejdere.
»Der er selvfølgelig nogle politikere, som ligger inde med oplysninger, der er interessante for andre at få fingrene i. Så hvis man ikke har en meget, meget klar politik omkring det eller har givet dem en basal introduktion til sikkerhedstruslen, så tænker de nok mere på, hvordan man får sænket skatterne, end om man optræder på en liste med hackede konti,« siger firmaets nordiske direktør, Leif Jensen.
OPDATERING: En talsperson fra Dropbox har rettet følgende hendvendelse til Version2: »Listen med hashede og saltede passwords eksisterer, men vi har ingen indikationer, som siger, at der nogen har skaffet sig utilsigtet adgang til de omfattede konti.« Han henviser i mailen til dette blogindlæg
