24 milliarder passord lekket i historiens største datadump: Slik sjekker du om du er rammet

Funnet er blant de største kjente samlingene av stjålne brukernavn og passord noensinne. Sikkerhetsforskere ved Malwarebytes oppdaget den uautoriserte databasen onsdag denne uken, ifølge en gjennomgang publisert hos Cybernews, og innholdet ble fjernet fra åpent nett kort tid etter.

Databasen lå på en Elasticsearch-server uten passord, uten autentisering og uten nettverksbegrensninger. Det betyr at hvem som helst med riktig adresse kunne lese hele samlingen rett ut av nettleseren.

Hva ligger i lekkasjen

Materialet er ikke ett enkelt innbrudd, men en samling fra 36 ulike kilder. Mye av det stammer fra såkalte infostealer-logger, det vil si data som er stjålet fra infiserte PC-er av snylteprogrammer som kopierer alt brukeren har lagret i nettleseren.

Rundt 1,7 milliarder oppføringer kommer fra Telegram-kanaler på engelsk og russisk, blant annet kanaler som handler med stjålne kredittkortdata. Resten er hentet fra eldre innbruddssamlinger, eksporter fra aktive servere og overvåkningsdokumenter, ifølge analysen som ble publisert om funnet.

Loggene inneholder typisk brukernavn, e-postadresser og passord i klartekst, men også sesjonsinformasjonskapsler som kan brukes til å omgå tofaktorpålogging, autofyll-data, enhetsfingeravtrykk og opplysninger om kryptolommebøker. At passordene ligger i klartekst gjør at en angriper kan prøve dem mot andre tjenester med en gang.

Slik sjekker du om e-posten din er rammet

Det enkleste sjekkpunktet for vanlige brukere er nettstedet Have I Been Pwned. Tjenesten lar deg skrive inn en e-postadresse og se om den dukker opp i kjente lekkasjer. Den ble opprettet av sikkerhetsforskeren Troy Hunt i desember 2013 etter Adobe-innbruddet, og indekserer i dag innhold fra over tusen kompromitterte tjenester.

Slik bruker du den:

1. Gå til haveibeenpwned.com. 2. Skriv inn e-postadressen din i søkefeltet. 3. Klikk på «pwned?».

Hvis siden blir rød, har adressen din vært en del av minst én lekkasje, og du får en oversikt over hvilke tjenester det gjelder. Hvis siden blir grønn, er adressen ikke registrert i de samlingene tjenesten har indeksert. Det utelukker ikke at den finnes i nyere logger, så tiltakene under er fornuftige uansett.

Tre ting du bør gjøre nå

Bytt passord på de viktigste kontoene først. Prioriter e-post, nettbank, betalingstjenester og store handelskontoer. E-postkontoen er nøkkelen til å tilbakestille passord på alt annet, så den må sikres først.

Bruk unike passord på hver tjeneste. Datatilsynet anbefaler at man holder ulike passord på forskjellige tjenester og gjerne tar i bruk en passordbehandler. Når et passord først er på avveie, er det den eneste måten å hindre at lekkasjen sprer seg til andre kontoer.

Slå på tofaktorautentisering. Datatilsynet er tydelige på at «sterk autentisering» gir bedre beskyttelse enn passord alene, og anbefaler privatpersoner å slå det på der det er mulig. Med tofaktor må en angriper i tillegg til passordet ha tilgang til mobilen eller en sikkerhetsnøkkel for å komme inn.

For norske brukere er det all grunn til å regne med at e-postadresser knyttet til norske tjenester finnes i materialet. Selv om databasen nå er fjernet, vet ikke forskerne hvem som har lastet den ned i mellomtiden.