Millioner af passwords ligger som plaintekst hos amerikanske forsyningsselskaber

Illustration: vladwel/Bigstock
Passwords for omkring 15 millioner brugere ligger som plaintekst i databaserne hos en række forsyningsselskaber, som bruger it-virksomheden SEDC.

Mere end 80 forsyningsselskaber, som bruger it-leverandøren SEDC, har det til fælles, at de tilbyder kunder, at de kan få deres password sendt til deres e-mail, hvis de har glemt det.

Det skriver Ars Technica

Muligheden for at få tilsendt sit password til en e-mail udgør et sikkerhedsmæssigt problem, fordi det betyder, at databasen, som indeholder koderne, ikke lever op til den moderne praksis med lagring af passwords, hvor koderne både saltes og hashes, før de gemmes.

Ars Technica vurderer, at forsyningsselskaberne tilsammen har 15 millioner brugere. Men tallet kan være meget højere. Ars Technica fandt 80 forsyningsselskaber med tilbud om at sende passwords per e-mail, men SEDC, som leverer hjemmesiderne, skriver på deres hjemmeside, at de leverer it-løsninger til mere end 250 forsyningsselskaber.

Kun et potentielt problem

Password-databaser, som ikke er saltede og hashede, er ikke et problem, medmindre virksomheden bliver udsat for et angreb, og en angriber får adgang til databasen. Salting og hashing er derfor en del af defence in depth-strategi, hvor sikkerheden eksisterer i flere lag.

Det har dog vist sig, at risikoen for datalæk er ganske høj, selv for store it-virksomheder, og det er netop sådan nogle angreb, der har leveret indhold til de store samlinger af brugernavne og kodeord, der florerer på internettet.

Læs også: Medie: 2,2 milliarder lækkede logindata flyder frit på nettet

I en pressemeddelelse svarer SEDC på Ars Technica-historien, og gør det klart, at der endnu ikke har været et brud på sikkerheden hos forsyningsselskaberne.

Yderligere skriver virksomheden, at de har deaktiveret muligheden for at e-maile kunder deres passwords og er ved at udvikle en opdatering, som skal salte og hashe passworddatabaserne.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lasse Mølgaard

Jeg synes jeg har læst ret mange skræmmende historier om hvor lemfældigt man tager IT sikkerheden i USA.

Atomkraftværker, militære installationer med mere som var nærmest kun beskyttet af et virtuelt "adgang forbudt" skilt.

... Hvad værre er: Jeg tror sagtens på at der findes lignende historier i Europa.

Man kan så håbe, at de er ikke i samme kaliber.

Log ind eller Opret konto for at kommentere