Indehaver af @anders.dk bombarderet med yderst følsomme hovsa-mails

Her ses en af de mange mails, Anders Lorensen har modtaget i sin indbakke. Illustration: Version2
Det har visse ulemper at have et catch-all domæne. Mens nogle af de mange mails er sjove, har flere en kritisk og yderst følsom karakter.
35

En helt tilfældig person ved navn Anders modtager ufrivilligt adskillige følsomme mails fra folk, der fejlagtigt kommer til at sende deres mails til hans domæne (@)anders.dk i stedet for, eksempelvis, (@)randers.dk. Og det skaber en lind strøm af datalæk fra en lang række kilder.

Historien om domænet anders.dk starter helt tilbage i halvfemserne, da de danske domæner frigives. Anders Lorensen sidder klar, og køber domænet anders.dk få sekunder efter det sættes til salg.

Herefter opretter han en catch-all mailserver, der sørger for, at alle mails sendt til N.N@anders.dk, ender i Anders' indbakke. Det første stykke tid får Anders de mails, han skal have og ikke flere. Men så begynder de første hovsa-mails at tikke ind.

»Jeg har fået SÅ mange mails, der kunne bruges kriminelt på en eller anden måde. For eksempel har jeg fået en kvittering for et lejet sommerhus med kode til huset, samt detaljerede beskrivelser af, hvornår det står tomt,« fortæller 39-årige Anders Lorensen, der har været it-konsulent i en mindre it-virksomhed i 18 år.

»Jeg modtager også helt tilbage i 1999 en mail fra nogle, der er kommet i problemer på deres ferie til Hawaii, og som forsøger at kontakte nogle i Danmark for at gøre opmærksom på, at nogle af rejseledsagerne er på vej hjem før tid.«

‘Ellers har vi alle det godt, og er lige kommet hjem fra en bytur, der siger sparto. Vi er virkelig iblandt de unge, de rige og de smukke,’ står der også i den fejlsendte mail fra Hawaii.

Siden da er der kun kommet flere mails, nogle med langt mere dystre og følsomme emner.

Fik fyreseddel før den fyrede

Eksempelvis vidste Anders Lorensen, at der var en fyreseddel på vej til en medarbejder på en skole, før medarbejderen selv vidste besked;

‘Kære N.N.

Jeg må hermed desværre meddele dig, at skolen ser sig nødsaget til at opsige dig fra din stilling. Baggrunden for opsigelsen er (...)’, lød det blandt andet i en fejlsendt mail fra 2006.

Og det stopper ikke ved det.

Blandt så mange andre mails har Anders Lorensen fået en følsom mail fra Kriminalforsorgen om kontanthjælp til en anden Anders, der snart skal løslades fra et fængsel.

Imens beskriver en mail fra Skat i detaljer en kontanthjælpsmodtagers udestående, mens en anden, vred mail fra en forælder stiller spørgsmålstegn ved, om den pågældende skole i (R)Anders lever op til sit ansvar;

‘Vi må som forældre rette en alvorlig klage over de forhold, hvorunder vores datter, blandt andre elever, måtte skrive stil i dag. Det er simpelthen ikke i orden!

(...)

Vi fik en rystet og grædefærdig datter hjem i dag, N.N. 3 timers mareridt havde udspillet sig. (…) ALDRIG som forældre har vi oplevet noget lignende og må på det kraftigste overveje, om det er den rigtige skole for vores datter.’

Fælles for mange af de alvorlige hovsa-mails er, at de var stilet til medarbejdere i Randers Kommune, hvis e-mailadresser ender på @randers.dk. Glemmer man r’et, ja så ender posten hos Anders Lorensen.

Nogle af de dystre mails har Anders Lorensen høfligt sendt videre til den rigtige person hos Randers Kommune.

»Generelt er folk utaknemmelige, når jeg videresender mails. Det er de færreste, der overhovedet svarer,« siger Anders Lorensen

Inviteret til Anders Matthesens fødselsdag

Men det er ikke lutter ulykke, der rammer Anders Lorensens indbakke. Også en indstilling til Dronningens Fortjenstmedalje fra det daværende Økonomi- og Indenrigsministerium har lagt vejen forbi.

Og så er han blevet inviteret til fødselsdag.

»Anders Matthesens mor har i flere omgange sendt mig post, der ellers skulle være endt i hendes søns indbakke. Derfor er jeg blandt andet blevet inviteret til fødselsdag,« siger Anders Lorensen og griner.

Og selvom eksemplet er lidt morsomt, er der ikke noget at grine af privacy-mæssigt. Alle familiens mailadresser står listet som CC, og det er generelt for mange af hovsa-mailsne at de

Men hvem har ansvaret, når anders.dk bliver den ufrivillige modtager af alskens e-post?

Godt Anders modtager posten privat

Først og fremmest er Anders Lorensen ikke forpligtet til at læse og håndtere de fejlsendte mails. Han har nemlig modtaget dem mod sin vilje og ved et tilfælde, og derfor kan han ikke klandres for dén del.

Når det er sagt, skal han være glad for, at han ifølge ham selv modtager posten som privat og ikke bruger den til arbejde eller til en virksomhed.

Kun derfor er han nemlig ikke omfattet af persondataforordningen, som det er tilfældet for virksomheder, organisationer eller myndigheder. Det fortæller Jon Lauritzen, der er partner og advokat i Delacour, og som blandt andet har speciale i persondataret.

»Ikke desto mindre vil jeg klart råde Anders til at tilbagesende de mails, han åbner og finder ud af er fejlsendte. Derefter bør han slette både den oprindelige mail, men også hans svar, der ganske givet også indeholder den fejlsendte mail,« siger Jon Lauritzen.

Advokaten fortæller desuden, at Anders Lorensen ikke har pligt til at læse de mange mails, samt at så snart han åbner en mail og finder ud af, at der eksempelvis er tale om en fyreseddel, skal stoppe med at læse og sende den tilbage til afsender.

Hvis en fejlsendt mail ikke åbnes og måske drukner i indbakken er Anders Lorensen ikke ansvarlig for indholdet. Heller ikke, hvis den indeholder dybt personfølsomme informationer. Juridisk set har han nemlig først ansvar, fra han bliver bevidst om, at noget er i uorden.

»Hvis jeg var Anders Lorensen, så ville jeg lave et standardsvar til alle de her mails, som åbenlyst er sendt forkert,« siger Jon Lauritzen, der fortæller, at alle de gamle mail, Anders Lorensen har vist Version2 bør slettes øjeblikkeligt.

Der er nemlig intet juridisk belæg for at opbevare dem. Derudover skal afsender informeres om, at de er blevet slettet, så de ved, datalækket er begrænset til anders.dk.

Version2 vil på mandag bringe en særskilt artikel med et interview med Randers Kommune.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Lorensen

Anders kunne også stoppe cath all på sit domæne

Det har mange forslået. Mit problem er at jeg ikke aner hvilke email adresser jeg har brugt de sidste 20 år. Hver eneste gang jeg skal oplyse en ny email adresse til et site, bruger jeg altid <sitenavn>@anders.dk. (Det har den fordel at man nemt kan stoppe spam, hvis nogen misbruger email adressen)

Det vil tage uoverskueligt lang tid at finde frem til alle adresser jeg har brugt.

Jens Hansen

Et "slåfejl"-tool finder ledige domains tæt på det rigtige.

For illustration har jeg smidt en rapport for jysk.dk på pastebin.com/fdsn7XHi

Her kan man se at Jysk selv har købt domæner, men andre aktører også er på spil.

Der er stadig masser af muligheder hos jysk, for den driftige kriminelle.

Der er flere kriminelle metoder. En metode med ca. 98% hitrate, er reply spearphishing.

Modsat Nigerian Letters - åbner næsten alle korrespondance de selv har startet.

Har testet en mere sofistikeret reply spearphishing teknik, der involverer sociale medier.

Her faldt ansatte fra de fleste IT-sikkerhedsfirmaer i. Inklusiv personer, der næsten dagligt udtaler sig i medierne som "sikkerheds-eksperter"

Læserne kan selv finde et tool og undersøge disse selvudråbte "eksperters" virksomheder.

Hvor godt tror I "eksperternes" domæner er sikret? - Spoiler alert: Do as I say (not as I do).

Per Dalgas Jakobsen

Anders kunne have brugt Subaddressing, men da katten nu er ude af sækken, må han vel bare håndtere det indkomne.

Man kunne lave en folder til "Hovsa-mail", hvori man flytter mails over når man indser at det er en hovsa-mail.

Folderen skal så tjekkes automatisk, en svarmail til hver mail genereres og afsendes, og den modtagne mail kunne derefter slettes, eller modificeres tilstrækkelig til at privacy er genoprettet. Den afsendte mail må kun indeholde nok information så afsender selv kan regne ud hvilken mail der blev fejlsendt (vi ved jo strengt taget ikke hvem der læser svarmailen).

Blot en idé :-)

Kevin Lund

Jeg er indehaver af @lund.dk og modtager ligesom Anders, masser af emails som er sendt forkert og havner i min cath-all indbakke. Alt fra invitationer, til bekræftelser om køb, familiebilleder, adgangkoder til diverse sites, ansøgninger, klager osv.

Lasse Mølgaard

Jeg opsagde langt om længe mit fastnetabonnement for cirka 3 mdr siden, men indtil da fik jeg jævnligt fejlopkald.

Når ens telefonnummer ender på 211222, så er der mange der tror jeg er: Bedemanden, tandlægen, mekanikeren, pizza pushere, jordmoderen, advokaten, Borgerservice, ....

Jeg har over tid snart haft fuld plade på alle de jobbeskrivelser i kan finde på. :-)

Jeg burde havde solgt mit nummer dengang man kunne sælge guldnumre til firmaer - fordi mit nummer er tættere på at være et platinnummer. :-)

Torben Jensen

Anders kunne have brugt Subaddressing, men da katten nu er ude af sækken, må han vel bare håndtere det indkomne.

Formålet med catch all (for mig i hvert fald) er at identificere hvem der lækker information - og spammerne håndterer subaddressing, så den båd sejlede for mange år siden.

Det er sjovt at konfrontere virksomhederne når man modtager spam på emails kun givet til dem, hvor meget de kan benægte at de er skyld i at data er mistet - listen er desværre skræmmende når man kigger på størrelsen af virksomhederne.

Nu har jeg "desværre" ikke fået noget på nogen nye virksomheder efter GDPR er trådt i kraft, men det skal nok blive spændende at se om de har ændret på deres håndtering af anmeldelser af datalæk.

Mikkel Bruun

Jeg har en også en meget populær email addresse som jeg modtager en masse utilsigtede mails på.

Engang om året vil en amerikansk familie invitere mig med på familie cruise.
Jeg modtager ofte lønsedler, notifikationer fra eboks osv...

Det værste er dog at en eller anden squatter min email på PayPal, der er åbenbart halvt oprettet en konto med min email, men vedkommende kan selvfølgelig ikke færdige oprettelsen, og det kan jeg af en eller anden grund heller ikke...

Andrew Rump

Jeg ville gerne kunne oprette alle de email konti jeg havde lyst til, uden at den nye modtager skulle rode med mails til den tidligere ejer af mailadressen. Så da jeg overtog et domæne, som tidligere havde været aktiv, brugte jeg netop catch-all for at se om der stadig blev sendt mails til domænet.
Det gjorder der i stor stil!
Der kom mails fra gamle venner, nyhedsbreve, services, m.m.m. incl. fra DK-Hostmaster! De burde da vide, at domænet ikke længere var tilknyttet den tidligere bruger af domænet!?!
Jeg afmeldte de mails jeg kunne og skrev venligt tilbage til de private mails jeg modtog, at de bedes fjerne adressen fra deres adressekartotek.
Nogle blev ret sure over at jeg læste deres mails - det gjorde jeg ikke - jeg besvarede dem bare, da jeg vidste at jeg ikke burde få mails, da jeg ikke havde taget domænet i brug endnu.

Henning Wangerin

Det har mange forslået. Mit problem er at jeg ikke aner hvilke email adresser jeg har brugt de sidste 20 år. Hver eneste gang jeg skal oplyse en ny email adresse til et site, bruger jeg altid <sitenavn>@anders.dk. (Det har den fordel at man nemt kan stoppe spam, hvis nogen misbruger email adressen)

Det er helt samme fremgangsmåde jeg benytter mig af - og mange andre som jeg kender, så nedlukning af catch-all holder ikke vand.

En helt anden ting er at jeg ikke på nogen måde kan se hvordan jeg (eller anders eller andre) skal kunne få et problem med at andre sender mails til mig.
Jeg har samme problem dels med et af mine domæner hvor et stor logistik-firma har et domæne meget tæt på :-( og del hele to bygge-virksomheder (eller deres kunder) som mener at de kan brug mit domæne som forkortelse.

Ja. Jeg skal slette dem når jeg finder ud af at det ikke er til mig, men den del kan jeg leve med. Har sågar sat kill-filter op på nogle at de mest vedholdende adresser ;-)

/Henning

Jens Hansen

Jeg kunne bestille og overtage ejerskab af mange ting bare ved at have domænet,

Jeps, mange gange går en velorganiseret kriminel maskine i gang ved udløb.

Især når offentlige organisationer nedlægges eller fusioneres - tænk kommunesammenlægning.
Firmaer der går konkurs o.l. Ansvaret for de gamle domæner er ingens.

Så har man domæner med medarbejder-konti i massevis.

Mark Klitgaard

Pr definition. Bør enhver person der modtager en fejlsendt email - slette den øjeblikkeligt - uden at læse den, uden at tage stilling - blot slette!
Før internettet fik vi hver især af og til et fejlleveret brev i postkassen. Var det sådan at vi kunne finde på at åbne og læse dette brev?
Brevhemmeligheden er ukrænkelig

Referencen til et brev er fin, men passer ikke helt til dit argument. Når jeg får et brev der er til min adresse men forkert navn plejer jeg at skrive "findes ikke på adressen"på konvolutten og aflevere det i en postkasse. Hvis vi skulle udøve din email løsning, skulle jeg bare smide brevet ud og afsender ville ikke vide det ikke var kommet frem til den korrekte person.

Anders Lorensen

Pr definition. Bør enhver person der modtager en fejlsendt email - slette den øjeblikkeligt - uden at læse den, uden at tage stilling - blot slette! Før internettet fik vi hver især af og til et fejlleveret brev i postkassen. Var det sådan at vi kunne finde på at åbne og læse dette brev? Brevhemmeligheden er ukrænkelig

Du glemmer 2 ting.

  1. Ofte er breve er adreseret til mig, og starter ofte med "Hej Anders" - Det er ikke altid trivielt at se om brevet er et fejlbrev på et øjeblik, uden at læse indholdet.

  2. Hvis der er personfølsomme data i brevet og det kommer fra en virksomhed, skal datalækket anmeldes og ikke (bare) slettes. Det er jo et krav i GDPR.

Hvad angår pkt. 2 betyder det faktisk at jeg, siden GDPR trådte i kræft, skimter emails/vedhæftninger igennem, og hvis jeg finder noget personfølsomt, kontakter virksomhedens DPO. Det mener jeg faktisk er mit "påduttet ansvar" hvis vi nogen sinde skal have belyst dette problem hos virksomhederne og lovgiverne. Jeg ser problemet som at folk sender ukrypteret emails med personfølsomt data, og ikke tastefejlen i adressefeltet. Tastefejl kan man aldrig undgå.

Adam Sjøgren

Før internettet fik vi hver især af og til et fejlleveret brev i postkassen. Var det sådan at vi kunne finde på at åbne og læse dette brev?

Forskellen her er vel at på email'en står der faktisk den adresse den blev leveret til. Hvordan ved du at et brev i din postkasse ikke er til dig, hvis dit navn og adresse står på kuverten?

Hans Nielsen

På helt forskellige måder og til helt forskellige ting.
I en anden tråd, var der en som påstod at domain kun var til for virksomheder. Og at essensen i et doman var en hjemmeside.

Total misforstået, som at veje kun er til transport af varer. Eller telefon til kort klar kommunikation. :-)

Mange bruger deres domæne som de lyster, og det skal de have lov til.
Har selv det omvendte problem, da mange som skriver til mig, ikke forstår at mit domain ikke er et *.dk Da jeg synes det "var" for dyrt, og ikke var ude i rette tid.Samt at regler for brug var over kontrolleret. Som at en virksomhed åbenbart til ethvert tidspunkt have ret til at overtage en privat persons domain, især hvis der ikke var en hjemmeside.

Så jeg synes at i bør gøre som alle andre som får et forkert adr. postkort. Smide det ud, returnere det, læse det, eller gemme det. Eller hvad i nu har lyst, tid moral og etik til.*

Hvis nogle sender personlig private oplysninger ukrypteret. Så svare det vel til, at en reality stjeren på TV pluseligt vil have retten til et privatliv.

  • I stedet start med at kræve og bruge krypteret mail. Så hvis modparten gerne vil se hvad de har sendt forkert.
    Så må de starte med at angive en sikkert krypteret mail, som man kan sende den til. Hvis ikke de får løst det. så kan vel efter 2-3 uger anmelde det som et brud på GDPR . - Pisken og guleroden.

For alle, vil et sted at starte være her.

https://tutanota.com/da/

Peter Tagesen

Jeg blæste nogle håndfulde domæner baseret på fornavne (peter, niels, michael, karin osv.) igennem. En god sjat af dem inkl. peter.dk er registreret 24. marts 1998 - dog til vidt forskellige registranter rundt omkring i landet.
Jeg formoder, at en tidligere registrant, der har haft fokus på domæner baseret på fornavne, enten har frigivet dem netop den dato eller noget databaseoprydning/samkørsel/andethalløj, hvor registreringsdatoen blev sat til netop 24/3/98.

Mon ikke de andre registranter kan fortælle lignende historier i stil med den i artiklen? :)

Martin Warming

Nu er det specielle lige her, at mange af de her hovsamails tror folk at de sender til @Randers.dk som må formodes at tilhøre Randers kommune, men de fejltaster og får sendt til @Anders.dk istedet.
Det samme tror jeg ikke er tilfældet for f.eks @Eter.dk @Iels.dk, @Ichael.dk eller @Arin.dk

Martin Rasmussen

Jeg er desværre også i den situation, hvor nogle af mine mails modtager 'meget' privat info...
Det startede med nøgenbilleder fra kærsten (uden titel, så ingen advarsel om indhold), til flybilletter(altså den du skal printe ud), lønningssedler (tak KU for at tage den henvendelse godt), lister af CPR numre fra kommuner og stat, årsopgørelser (fra personerne, ikke skat!), til nok de første 100 abonnements koder.

Det er meget svært at stoppe, da de fleste nu har ens email i deres program, som autoudfylder min mail.

Har sågar været nød til at kontakte itafd i en kommune, for at få dem til at rejecte min mailadresse, fra deres side, da de personlige informationer blev alt for meget.

Læren af overstående, er at offentlige institutioner som regel tager det alvorligt, men de private forsætter i en lind strøm, uanset hvor mange gange man har bedt dem om at stoppe med at sende billeder af dem selv, eller deres børn(eller lign.).

De værste har jeg sat et permanent; nej tak mailreply op, og auto slet herefter, men det er svært at holde tingene ajour, med så store mængder.

Resultatet er at jeg ikke bruger den mail mere aktiv; ærgelig, da det er en yderst fornuftig sigende mailkonto.

Jeg er glad for det ikke er en firmamail, med alt det ansvar der følger med der..

Log ind eller Opret konto for at kommentere

Sikkerhedshul i Bluetooth lader hackere følge med i dataoverførsler

0

Dårligt sikret database eksponerer fingeraftryk for 1 mio.

5

Cyberangreb mod Tivoli: Bagmænd fik adgang til gæsters personoplysninger

2
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Gratis Version2 webinar: Undgå GDPR-bøder med sårbarhedshåndtering
Whitepaper
Whitepaper
How to drive GDPR compliance with vulnerability management
Webinar
Webinar
Gratis Version2 webinar: Sådan får du med datavask fuldstændig styr på dine Cisco-serviceaftaler
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder