Flere politikeres kodeord til blandt andet Dropbox lagt tilgængelige på internettet

*OPDATERET* 50 politikeres loginoplysninger til Dropbox og LinkedIn har i længere tid ligget tilgængeligt på nettet. Mange af disse Dropbox-konti indeholder fortrolige oplysninger.

»Åh nej. Åh nej. Det er løgn.« Sådan lød det, da en journalist Jyllands-Posten (som denne artikel også er citeret fra) meddelte politiker Alex Ahrendtsen (DF), at hans kodeord til Dropbox og LinkedIn var blevet lækket.

»Der kan jo ligge alle mulige dokumenter i de forskellige systemer, som er hemmelige eller fortrolige,« siger Alex Ahrendtsen.

Reaktionen er sådan set helt forståelig, for en Dropbox-konto kan indeholde kæmpe mængder af fortroligt indhold. Indhold, som i politikeres tilfælde kan have store konsekvenser, både for dem selv og deres parti.

Derudover er politikeren vel sagtens lige så skyldig som enhver anden i at genbruge passwords, så potentielt kan der være adgang til langt flere tjenester end blot Dropbox.

Den samme reaktion havde Enhedslistens Pelle Dragsted da også, da Jyllands-Posten informerede ham om, at hans kontooplysninger på Dropbox var blevet lækket.

»Det er fortrolige ting i partiet og klart ting, som ville være problematiske, hvis de var kommet ud til f.eks. politiske modstandere. Det er strategiske oplæg og papirer om, hvordan vi håndterer bestemte diskussioner,« siger han.

Læk i 2012

Mange af de lækkede kodeord stammer fra Dropbox-lækagen i 2012. Her blev omtrent 68 mio. brugeres passwords og mails lækkede. Heriblandt var så de føromtalte 27 nuværende medlemmer af Folketinget, heriblandt tidligere udenrigsminister Kristian Jensen (V), skatteminister Karsten Lauritzen (V) og Morten Østergaard (R). I alt drejer det sig om 50 politikeres oplysninger, som er blevet lækkede.

Jyllands-Posten fandt frem til politikerne, da de havde registreret sig med deres arbejdsmail, som alle har endelsen '@ft.dk'.

Men oven i de 27 Dropbox-konti, som Jyllands-Posten har fundet frem til, kommer også 29 profiler på LinkedIn og ni på Adobe. Alle tre tjenester har på et tidspunkt være kompromitteret og har fået lækket store mængder af data.

Ingen af de implicerede er blevet informeret af Folketingets it-afdeling, som da heller ikke har ønsket at udtale sig til Jyllands-Posten. Ej heller har de ifølge Trine Bramsen (S) fået nogen internetregler udleveret i forhold til at bruge tjenester som eksempelvis Dropbox eller LinkedIn.

Giraf123 og sodavand som ikke er coke

På Version2 har vi flere gange omtalt vigtigheden af at have et stærkt password. Men Jyllands-Posten har været inde på pastebin.com og fundet frem til nuværende og tidligere PET-medarbejderes lækkede passwords.

De fleste er lagt op af en bruger, som går under navnet 'Nikolai'. Og selvom kodeordene er krypterede, står der ved siden af dem hints såsom 'dogname' og 'not coke'. Et enkelt sted analyserer Nikolai sig frem til, at der nok er tale om en medarbejder ved PET, som bruger passwordet 'pepsimax'.

Ved Kaspersky har man da også fuldstændig forbudt brugen af Dropbox for sine medarbejdere.

»Der er selvfølgelig nogle politikere, som ligger inde med oplysninger, der er interessante for andre at få fingrene i. Så hvis man ikke har en meget, meget klar politik omkring det eller har givet dem en basal introduktion til sikkerhedstruslen, så tænker de nok mere på, hvordan man får sænket skatterne, end om man optræder på en liste med hackede konti,« siger firmaets nordiske direktør, Leif Jensen.

OPDATERING: En talsperson fra Dropbox har rettet følgende hendvendelse til Version2: »Listen med hashede og saltede passwords eksisterer, men vi har ingen indikationer, som siger, at der nogen har skaffet sig utilsigtet adgang til de omfattede konti.« Han henviser i mailen til dette blogindlæg

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Nielsen

Ej heller har de ifølge Trine Bramsen (S) fået nogen internet regler udleveret i forhold til at bruge tjenester som eksempelvis Dropbox eller LinkedIn.

... Og hun er tidligere IT-ordfører for en af de største partier! Er det for meget at forvente at de har en lille smule indsigt?
Det er vel for pokker hende, der skal være med til at udforme "reglerne"!

  • 13
  • 0
Lars Andersen Hjorth

En lækket adgangskode er vel ikke noget stort problem, hvis man bruger 2 trins verifikation.
Og det fortæller historien jo ikke noget om.
Hvis nogen forsøger at logge ind med mit kodeord, så vil jeg jo få besked med det samme, og derefter skifte det.
Er det nu også breaking news det her?

  • 1
  • 0
Denny Christensen

Bramsen udtaler at hun ikke er blevet korrekt informeret om god og tilladt adfærd.

Det er i hvert fald skidt hvis dette er tilfældet. Det kan ikke forventes at ikke IT folk har den fornødne viden om fornuftig adfærd, med mindre de klædes på til det. Det kan godt være at vi som IT folk (dem af os herinde som er det) finder det helt naturligt, men det gælder altså ikke for alle. Og mange er egentlig også komplet uinteresseret, og der gælder det så om at udøve ekstra opmærksomhed for de IT ansvarlige.

At der så er ordførere på områder de ikke ved noget om er vel ikke overraskende, eksperter er ikke dem der vælges ind i folketinget. Sådan som jeg ser det.

  • 5
  • 0
René Nielsen

Det interessante ved denne historie er ikke kodeordets styrke eller de andre ting som artiklen fremhæver, selvom jeg er enig i at 2-faktor verificering øger beskyttelsen.

Men det interessante er, at de berørte personer betragtede DropBox som et sikkert sted at opbevare dokumenter med oplysninger som de selv anser for fortrolige!

Man burde forvente at f.eks. medarbejdere i PET og Folketinget viste at firmaer som DropBox er iflg. amerikansk lovgivning pålagt i hemmelighed at udleverer de data som CIA/NSA måtte ønske.

Jeg tror ikke der er mange af V2’s læsere som er overrasket at finde Trine Bramsen på listen, men at læse Trine Bramsen skyde skylden på Folketingets it-afdeling fordi hun har optrådt tåbelig, minder mig om mine børns bortforklaringer.

Men det Trine Bramsen og de andre folketingspolitikere i virkeligheden siger er, at de er ligeglade med IT – for det har de folk til at tage sig af.

De er ansat som chefer/direktører som skal lede et land og den slags trivielle ting som IT sikkerhed – har de folk ansat til at tage sig af. Og det ligegyldigt hvor tosset de opfører sig.

  • 8
  • 0
Bjarke Jørgensen

Da jeg sidste år var på borgen til et møde om IT-sikkerhed i Danmark, og fremtiden for denne, var de mindst kompetente de IT-ordførere fra forskellige partier der kom på til sidst. Op til det punkt var der fortrinlige oplæg, spørgsmål og diskussioner.

Politik og teknologi har altid hørt uløseligt sammen, og selvom vi ikke snakker om atomkraft, motorvejsbroer eller længden på et knivblad, er konsekvenserne af disse menneskers inkompetence reelle for den almindelige borger.

Der er ikke bare brug for uddannelse - der er brug for lovgivning der dikterer at politikere der har at gøre med emner der har direkte konsekvenser for befolkningen (det vil sige alle politikerne) skal have en stor viden om de felter de navigerer i - måske man kunne TESTE DEM I DERES EGEN PERFORMANCE-ÅND. Alt andet er respektløst og håner det almindelige menneskes tro på et politisk system der skal løse samfundets problemer.

/sorry, galde

  • 8
  • 0
Jesper Frimann

Det er vel for pokker hende, der skal være med til at udforme "reglerne"!


Nej. Det er det jo ikke. Det er jo det som er helt misforstået i den måde som Politikerne har formået, at mishandle vores demokrati.

Politikerne er generelt ikke særlig kompetente når det kommer til fagligheden i samfundet. De ved generelt ikke særlig meget om 'teknikken' bag det de ting de prøver, at sidde og rode med detaljer i.

Politikernes opgave burde være at fungere, som en slags bestyrelse for samfundet. Dem der maler de store linjer.

I dag sidder politikere og diskuterer minut forbrug i børnehaver og halve og hele promiller i skattelovgivningen og.. det lider vores samfund under. For de er ikke kompetente til det. Det er ministerierne generelt heller ikke. Siden man gjorde op med 'ekspert vældet' så er det generelt gået ned ad bakke. For de folk der ved noget om emnerne bliver ikke spurgt, eller hvis de gør så får de mundkurv på og der cherrypickes fra deres rapporter.

Før vi får gjort op med .. den her foragt for faglighed.. så ja.. må vi bare acceptere at vi sakker bagud og at pengene bliver brugt med hovedet under armen.

Hvis man herinde (på det her fora) samarbejdede om at skrive en overordnet IT-sikkerheds politik for folketinget.. så ville vi nok kunne få noget rimeligt fornuftigt strikket sammen på maks.. maks en uge. Hvis vi sådan arbejdede sammen.

// Jesper

  • 3
  • 0
Christian Nobel

Hvis man herinde (på det her fora) samarbejdede om at skrive en overordnet IT-sikkerheds politik for folketinget.. så ville vi nok kunne få noget rimeligt fornuftigt strikket sammen på maks.. maks en uge. Hvis vi sådan arbejdede sammen.

Men det ville jo være en fuldstændig kortslutning af djØFFERnes dagsorden, bla. i justitsministeriet, hvor en vigtig parameter er at der skal produceres så mange som muligt regneark, betænkninger, forordninger, redegørelser, og deraf følgende kontrolsystemer og hvad har vi.

For puha, du skal da ikke komme her med kætterisk tale om KISS.

  • 4
  • 2
Lars Bjerregaard

at alle bør opskrive sig til notifikation hos "Have i been pwned?" her: https://haveibeenpwned.com/NotifyMe

Det er ret gennemskueligt fra artiklen, at nogen bare har indtastet de offentligt tilgængelige email adresser på folketingspolitikere i søgefeltet på https://haveibeenpwned.com/, og fundet ud af hvilke leaks de har været udsat for. Gør det før din nabo, der er ingen grund til at vente, tager ca. 3 sekunder, og vær forberedt på en evt. "lille overraskelse" :-/

Data-leaks er rimeligt ude af kontrol.....

  • 6
  • 0
Log ind eller Opret konto for at kommentere