Netsundhedsplejerske.dk: Datalæk afslører e-mailadresser og passwords i klartekst
Tjenesten netsundhedsplejerske.dk er blevet hacket af ukendte gerningsmænd. Det vides ikke, præcist hvornår hacket skete, men i februar blev brugernes e-mailadresser og kodeord til netsundhedsplejerske.dk tilgængelige på internettet.
Hjemmesiden er en brevkasse, hvor man kan få besvaret diverse spørgsmål af Helen Lyng Hansen, som er sundhedsplejerske.
»Det var en bevidst, målrettet og ulovlig indtrængen,« siger Heini Hansen, som står for hjemmesiden og også er Helens mand. Han uddyber, at de mener at have lukket sikkerhedshullet men vil ikke uddybe, hvordan hjemmesiden blev angrebet.
Netsundhedsplejerske.dk opbevarede e-mailadresser og kodeord på brugerne i klartekst, og det er problematisk, fordi angriberne dermed potentielt kan få adgang til andre tjenester, da folk ofte genbruger deres kodeord.
It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København. Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Vil du gå direkte til tilmelding, klik her.Version2 Infosecurity
Netsundhedsplejerske.dk underrettede samtlige brugere om lækagen, da de fandt ud af, at deres side var blevet hacket.
I tidligere opgørelser har sitet været opgivet til at have knap 75.000 månedlige brugere.
»Vi underrettede vores brugere samme aften for at minimere konsekvenserne, og vi har også nulstillet alle kodeord, men vi vil gerne undgå at gå så meget i detaljer med hjemmesiden, at det kan bruges til at angribe os igen,« siger Heini Hansen.
Han vil ikke kommentere på, om de nye kodeord fortsat ligger som klartekst.
Ikke læk af følsomme persondata
Hændelsen har ikke medført læk af følsomme persondata. Spørgsmål-svar korrespondancen med brugerne gemmes på hjemmesiden, og de er dermed tilgængelige. Men der er ikke tale om følsomme persondata, understreger netsundhedsplejerske.dk.
Betalingsdelen af siden er underlagt en anden tjeneste, som ikke er kompromitteret.
Ifølge Heini Hansen arbejdes der netop nu på at forbedre sikkerheden på siden. Han regner med, at den indenfor meget kort tid, er blevet forbedret betydeligt.
»Vi tager selvfølgeligt ikke let på det her, og vi vil heller ikke underkende vores ansvar, men vi havde gjort alt så godt vi kunne, og arbejder løbende på at forbedre sikkerheden og hjemmesiden,« siger Heini Hansen.
Han har ingen forklaring på, hvorfor kodeord var opbevaret i klartekst.
Kodeord i klartekst er dårlig datasikkerhed
Center for Cybersikkerhed udgav i 2016 en anbefaling om sikkerhed i forbindelse med kodeord. Tip 8 - Sikker håndtering af passwords Organisationen skal have en meget restriktiv kontrol med, hvordan den teknisk håndterer sine passwords. Passwords bør ikke opbevares i klartekst. Center for Cybersikkerhed anbefaler, at passwords bliver hashed med en password-hashfunktion, Kilde: Center for CybersikkerhedAnbefalinger for opbevaring af kodeord
at der anvendes salt, og at det kun er den hashede værdi, der bliver gemt i databasen.
Som nævnt er kodeord i klartekst problematisk, da folk ofte genbruger deres kodeord på tværs af flere tjenester.
Men det er også et problem for sikkerheden, da det i realiteten betyder, at folk bag siden selv har adgang til kodeordene.
Problemet løses oftest ved, at kodeord automatisk hashes, når de bliver registreret. Altså køres kodeordene igennem en envejs-algoritme, som er designet til formålet. Dermed er værdien lagret i databasen obfuskeret, både mindre skadelig i tilfælde af et læk og hemmelig for folk i den organisation, der lagrer kodeordene.
Eksempelvis har Styrelsen for Dataforsyning og Effektivisering, på baggrund af en artikel i Version2, ændret deres procedure for kodeord i klartekst. De havde deres kodeord liggende i klartekst, for lettere at kunne yde brugersupport. Dette er nu ændret af hensyn til datasikkerhed.
Lækket brugerdata er offentligt tilgængeligt
Hacket af netsundhedsplejerske.dk kom frem i lyset, da en bruger af tjenesten fik information om hacket på sikkerhedsmanden Troy Hunts hjemmeside, som beskæftiger sig med datasikkerhed.
Med indtastning af e-mailadresse kunne han se at denne var kompromitteret. I dette tilfælde var det muligt at se, at e-mailadressen var lækket fra netsundhedsplejerske.dk.
Brugeren kunne efterfølgende finde kodeord på et datadump af lækkede informationer, der var lagt op på en cloud-tjeneste, der specialiserer sig i anonym fildeling.
Brugeren blev opmærksom på, at e-mailadressen muligvis var blevet lækket, efter gentagne mails fra twitter. De advarede om, at nogen prøvede at logge ind med e-mailadressen.
Netsundhedsplejerske.dk var ikke opmærksomme på lækagen, før de blev gjort opmærksomme på det.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
