Google spærrer for Gmail-konti efter læk af 5 millioner kodeord

10.000 danske konti vurderes at være blandt de lækkede.

Google har spærret for Gmail-konti, som tilhører brugere, hvis brugernavne og passwords blev lækket tidligere på ugen. Brugerne skal sætte nyt password for igen at få adgang, oplyser DKCERT. Ifølge Google drejer det sig om under to procent af passwordene, der var gyldige.

Ifølge sikkerhedsfirmaet ESET stammer dataene sandsynligvis fra phishing-websteder. Nogle af oplysningerne er mere end fem år gamle.

De lækkede Gmail-brugernavne og passwords, helt præcis 4.929.090, slap ud i løbet af natten til i går onsdag og blev oprindeligt fundet på reddit, skriver Freedomhacker.com

Ifølge DKCert indeholder webstedet Haveibeenpwned de lækkede passwords, så man kan tjekke, om ens adresse er blandt dem.

.txt-filen med alle adresserne blev senere fundet på et russisk bitcoin security-forum, hvor det menes, at mailadresserne første gang blev lækket.

De mange mailadresser og usikkerheden omkring validiteten af de i nogle tilfælde medfølgende kodeord har fået reddit-brugere til at advare hinanden om på nogen måde at indtaste mailadresse og kodeord på samme hjemmeside for at tjekke validiteten. Angiveligt er sådanne falske sider, der anvender phishing-metoder til at få brugere til uforvarende at indtaste deres oplysninger, allerede sat op med netop det henblik, skriver Freedomhacker.com

Peter Kruse, der er sikkerhedsekspert i firmaet CSIS, siger til Computerworld.dk, at oplysningerne kan have ligget på nettet i længere tid.

»Vi har indsamlet datasættet, og vi kan bekræfte dets validitet. Data ser imidlertid ud til at være op til tre år gamle. Vi har sammenholdt informationerne med data, vi allerede har. Her kan vi se et sammenfald, hvilket betyder, at nogle data allerede har været ude på nettet i lang tid.«

Op mod 60 procent af alle adresserne menes at være valide, skriver Freedomhacker.com

Blandt det samlede antal gmail-adresser vurderer Peter Kruse, at der findes omkring 10.000 danske. Som en tommelfingerregel mener han, at man bør skifte sit kodeord. Desuden kan man tage totrins bekræftelse i brug, en mulighed, som Gmail allerede har.

Er du træt af at frygte, at det bliver din mailadresse, der lækkes næste gang, kan du overveje en af de mere sikre mailadresser på denne liste på Freedomhacker.com.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Bruun

"Er du træt af at frygte, at det bliver din mailadresse, der lækkes næste gang, kan du overveje en af de mere sikre mailadresser på denne liste på Freedomhacker.com."

Hvordan er de emailadresser mere sikre? Hvis jeg indtaster mit login og kodeord på en eller anden tilfældig hjemmeside der beder om det, er jeg da sadig på den?

  • 7
  • 0
Jens Monrad

Der er intet i dette læk som tyder på at Google er kompromitteret. Der er nok nærmere tale om en generel opsamling af konti, hvor nogle brugere måske har brugt samme brugernavn og adgangskode til andre tilgængelige services på nettet. Dette bør man selvfølgelig ikke :)

Derudover, så hører jeg meget feedback omkring at nogle af de adgangskoder der er opgivet i listen er gamle, så det tyder også på det er en liste der er blevet opdateret og som man ved at lække, forsøger at tale op til noget mere alvorligt (dem der har lækket den).

I bund og grund, bør man følge de almindelige gode råd når større læk sker, på tjenester og hjemmesider som eksempelvis Google/Gmail.

*) Skift Password (lad være med at genbruge samme password flere steder!)
*) Benyt allerede tilgængelige sikkerhedsforanstaltninger (Google tilbyder eksempelvis to-faktor validering, hvilket virker rigtig godt!)

  • 3
  • 0
Martin Kofoed

Benyt allerede tilgængelige sikkerhedsforanstaltninger (Google tilbyder eksempelvis to-faktor validering, hvilket virker rigtig godt!)

Ja, det spiller rigtigt godt sammen med authenticator-app'en. Eneste ulempe er, at hvis man har flere android-devices på samme google account, taber de for en stund småkagerne, og må re-authenticeres uden to-faktor-login. Så der er en lidt træls enable/disable/enable-cycle, som nok kan få nogen til at give op. Men hey, sikkerhed har jo alle dage været for dem, der kan finde ud af det ... ;-)

  • 0
  • 0
Martin Kofoed

.. er i øvrigt en åben arkitektur. Der findes implementationer til et utal af tingester. Ud over to-faktor til google selv, har jeg også sat det op på de Wordpress-dimser, jeg administrerer. Så er det slut med scripts, der forsøger at gætte admin-password.

  • 0
  • 0
Per Vauvert

Det er jeg så ikke i iflg. denne "Haveibeenpwned".

Men, for at have en google-konto, skal man oprette en gmail-adresse.
Jeg oplyser normalt ikke gmail-adressen, hvis ikke lige nødvendigt; men fra ca. slutningen af Juli d.å. bliver jeg "oversvømmet" med alskens tilbud om bl.a. lån og ligegyldige ting på min gmail-adresse.

Sælger Google de adresser? Eller hvem spreder dem?
;-(( Per

  • 1
  • 0
Jan Holm

Jeg anvender det samme password til ca. 40 hjemmesider og synes, det er uoverkommeligt at skulle ændre dette, hver gang en af hjemmesiderne er blevet hacket. Sidst var det Adobe og nu måske Google. Jeg er kun tryg ved at anvende et andet password sammen med NemID. Er der nogen gode forslag til, hvordan man håndterer forskellige passwords til hver af de ca. 40 hjemmesider?

  • 0
  • 0
Nicolai Rasmussen

Er der nogen gode forslag til, hvordan man håndterer forskellige passwords til hver af de ca. 40 hjemmesider?

Du kunne jo skrive navnet på website ind i dit password. Det er den simple, men også let genkendelige metode. Hvis du skriver navnet på webstedet baglæns og trunkerer det til x karakterer og placerer det i midten af dit almindelige password, så er det kun version2s læsere der gennemskuer det i første forsøg :)

  • 1
  • 0
Daniel Udsen

Du kan f.eks. bruge KeePass eller deslige.

Men hvad sikkerhed har du for at en web baseret password manager er sikker eller at keepass ikke lækker data hvis en angriber for adgang til din maskine.

Det at der er tale om et tal i den størrelses orden der er tyder på at det er en læk der er kommer via botnet eller høstet fra en mindre password huske tjæneste.

  • 0
  • 0
Ernst-Emil Kaae Madsen

Det kan det. Jeg har brugt KeePass i flere år og vil anbefale dig at bruge version 2.xx
På android skal du installere "Keepass2Android Password Safe"
Gem din database fil i F.eks Dropbox.
Når du installere på din android enhed skal du vælge >Dropbox(KP2A folder)< og derefter på din PC flytte Databasefilen til mappen "Dropbox\Apps\Keepass2Android"

Det virker helt perfekt.

Husk at have en backup af din Database fil og ikke glemme Master Password :)

  • 0
  • 0
Rasmus Kaae

Jeg har ikke løsningen, men tilgengæld ser jeg at mange sites selv er kommet med en:

  • Brug "globale login"

På version2 kan jeg se man kan anvende Facebook login i stedet for et almindelig brugernavn/kodeord. Andre steder har jeg set Google-konti integreret.

  • 0
  • 0
Jens Holm
  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Google har spærret for Gmail-konti, som tilhører brugere, hvis brugernavne og passwords blev lækket tidligere på ugen. Brugerne skal sætte nyt password for igen at få adgang, oplyser DKCERT. Ifølge Google drejer det sig om under to procent af passwordene, der var gyldige. Ifølge sikkerhedsfirmaet ESET
stammer dataene sandsynligvis fra phishing-websteder. Nogle af oplysningerne er mere end fem år gamle. De lækkede Gmail-brugernavne og passwords, helt præcis 4.929.090, slap ud i løbet af natten til i går onsdag og blev oprindeligt fundet på reddit, skriver Freedomhacker.com Ifølge DKCert indeholder webstedet Haveibeenpwned de lækkede passwords, så man kan tjekke, om ens adresse er blandt...