Nära en halv miljon Svenska lösenord har läckt ut på internet

Relevanta dokument
Lösenordsregelverk för Karolinska Institutet

Lösenord och ditt Axxell IT-konto

version: Sidan 1 av 5

Innehållsförteckning:

ToxicMail inställningar för iphone

4. Lösenordens brister

Detta dokument innehåller instruktioner för hur du ska ställa in din ipad (ios 11) för olika ändamål

E-post inställningar. webgr.nu. Vill ni ha mer information hör av er:

Startguide för Administratör Kom igång med Microsoft Office 365

Observera att du måste ha internetuppkoppling första gången du loggar in med HogiaID.

Bordermail instruktionsmanual

Allmän information ITS Fjärrskrivbord

De största just nu är Facebook och Twitter. Även Google har lanserat ett, Google Plus.

Inställningar för Exchange 2007-plattform Office 2007 AutoDiscover (RPC over HTTPS) Område: Finland / Operativsystem: Windows Vista

Svenskarnas syn på IT-säkerhet

INFORMATIONSSÄKERHETSÖVERSIKT 1/2010

utbildning Översikt av funktioner i #fakta

INTRODUKTION & MANUAL

Använda Google Apps på din Android-telefon

Så här fungerar registreringen i Malmö stads Odlingsslottskö

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Installation av e-post i Mac Mail 10.3 (2017) För kunder hos Argonova Systems med maildrift hos GleSYS

MANUAL FÖR JÄGAREFÖRBUNDETS KRETSAR

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

256bit Security AB Offentligt dokument

Startanvisning för Bornets Internet

Fr om version använder vi HogiaID en ny inloggning för dig som använder Hogia einvoice eller Hogia Approval Compact Edition

Telia Centrex IP Administratörswebb Handbok

Användarmanual för Pagero Kryptering

Identifierad och igenkänd, men sen då? Anne-Marie Eklund Löwinder Kvalitets- och

En lösenordsfri värld utopi eller verklighet

Introduktion till integritet

Kommunala Mediacentralen våren Lathund. för beställning av läromedel. via Svenska Läromedel på Internet (SLI) Läromedel Böcker

DELA DIN MAC MED FLERA ANVÄNDARE

För att kunna kommunicera och vara aktiv på Internet så behöver du en e-postadress. Att skaffa en e-postadress är gratis.

WHAT IF. December 2013

Hantera organisationens SDL-användare. Anvisningar för SDL-huvudanvändare

Krypterad e-postförbindelse mellan försäkringsmäklare och Finansinspektionen

Ägarrapportering via Internet HANDLEDNING ÄGARRAPPORTERING. Inledning 2. Förutsättningar 2. Logga in 3

SAFE WORK. Instruktioner till Företagets egen sida - för dig som är chef/kontaktperson på ett entreprenadföretag

Din manual F-SECURE PSB

Diatel Telefonpassning

INFORMATIONSSÄKERHETSÖVERSIKT 2/2011

Så här gör du vid kommunens flytt av e-postkonton

lokalnytt.se Manual kundadministration

Generell IT-säkerhet

Logga in och skapa ett konto

Logga in Översikt/Dashboard Avvikande produkter Arbeten misslyckades Senaste gjorda Systemmeddelanden...

Manual - Storegate Team

DIBS Manager. En introduktion till ditt administrationsverktyg på Internet

Säker e-post Erfarenheter från Swedbank

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion för konfiguration av e-post IMAP-konto på Apple iphone

1 Administrarör ETL MIR

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

Uppgift 3: Skapa ett Youtube-konto

Här är en tydlig steg för steg-guide som beskriver hur du konfigurerar din e-post på en iphone (Apple).

Webbmanual hittaut.nu

Instruktion för konfiguration av e-post IMAP-konto på Android 2.3

DIBS Manager. En introduktion till ditt administrationsverktyg på Internet

Information om förskolans och skolans IT-stöd till dig som vårdnadshavare

Användarmanual för Lunds universitets sökandeportal

Fr om version ser inloggningen med HogiaID lite annorlunda ut i Hogias Ekonomisystem

MANUAL FÖR JÄGAREFÖRBUNDETS KRETSAR

Lösenordsbyten för förtroendevalda Ulrika Mild

ISA Informationssäkerhetsavdelningen

Lathund för statistikuppgifterna i Nyhetsvärderaren tips för lärare

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Hur gör man ett trådlöst nätverk säkert?

Villkor för Resultatservicekonto

Kryptering. Krypteringsmetoder

Många företag och myndigheter sköter sina betalningar till Plusoch

Konton skapas normalt av användaren själv, men kan i undantagsfall behöva läggas upp av annan person, exempelvis en junioradmin.

Telia Centrex IP Administratörswebb. Handbok

Webbmejlens gränssnitt

Manual Svevacadministratör

Särklass bästa DDoS skyddet

Guide för konfigurering av Office 365 konton

Ekonomiportalen Sa kommer du iga ng

Inställningar. Ljudinställningar

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Allmän information ITS Fjärrskrivbord

Steg 3 Internet Mac OS X

Lathund Elektronisk fakturahantering

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Din manual F-SECURE PSB AND SERVER SECURITY

Instruktion: Trådlöst nätverk för privata

Sammanfattning av riktlinjer

Använda Outlook 2003 mot Exchange

E-post för nybörjare

SORSELE KOMMUN. Handbok OEW. 28 sept 2012 Mari-Anne Englund Barbro Olofsson. Sorsele kommun Version , rev (19)

Kom igång med utbildningen bättrevardag.nu!

Användarhandledning ICA Torget

VÄLKOMMEN TILL OWNIT!

Vad är Atea Register? Hur navigerar jag till Atea Register? Manualens syfte

Utbildningsmaterial för LiiV

UochM Kundsupport 1. Du har fått ett från UochM med följande information (har du inte fått det så kontaktar du UochM):

TST8102 WEBCM BRUKSANVISNING

Transkript:

Truesec Stockholm 11 nov 2013 version 1.1 Nära en halv miljon Svenska lösenord har läckt ut på internet Executive Summary I listan över de cirka 129 miljoner konton som stulits under datorintrånget mot Adobe återfinns nära en halv miljon svenska konton, varav många tillhör svenska partiledare, toppolitiker, kändisar och företagsledare m.m. Adobes skydd av lösenorden har haft svagheter som innebär att ett stort antal av lösenorden med enkelhet har kunnat identifieras. Vidare finns tydliga indikationer och statistik som pekar på att flertalet av lösenorden återanvänts i andra system vilket lämnar stora möjligheter för en potentiell angripare att logga in och ta kontroll över politiker, företagsledare, kändisar och andras e-postkonton, konton till sociala media osv. Förbehåll Denna rapport baserar sig på en ingående analys av kontodatabasen som stals i samband med dataintrånget hos Adobe och som nu tillgängliggjorts på internet. Av de cirka 400.000 svenska e- postadresser som identifierar innehavaren av kontot återfinns representanter från ett mycket stort antal svenska företag och verksamheter. Viktigt att belysa är att de som drabbats är individer som haft ett konto hos Adobe vilket inte är att förväxla med att företagen de representerar skulle ha drabbats. Dock föreligger risker för att verksamheter drabbats eller kommer att drabbas indirekt utifall lösenord återanvänts och går att återanvända dessa direkt på arbetsplatsen eller på annat sätt som exponerar verksamheten eller information tillhörande denna. I exemplen nedan har konton tillhörande en politiker använts då de av pedagogiska skäl är lätta att förstå vikten av. Detta innebär inte på något sätt att politiker har drabbats hårdare än någon annan, andra exempel på individer från börsnoterade bolag, mediabolag såsom press och TV, Banker, myndigheter och många andra sektorer är minst lika drabbade. Även analysbolaget Truesec har återfunnit egna konton i databasen. Då kontodatabasen är publicerad på internet är informationen om vilka e-postadresser som utsatts redan publikt. Med bakgrund av detta har Truesec valt att kommentera vissa drabbade organisationer som exempel till rapporten. Truesec har dock valt att inte offentligt peka ut individuella konton och eller tillhörande lösenord i syfte att skydda individerna som är innehavare av kontona.

Inledning En lista med över 129 miljoner användarkonton har läckt ut ifrån ett dataintrång hos Adobe. Över 400 000 av dessa tillhör svenska e-postadresser, somliga med väldigt svaga lösenord visar det sig vid en närmare analys Truesec har gjort. Det finns också en överhängande risk för att krypteringsnyckeln blir känd i framtiden. Konsekvensen av det skulle bli att samtliga av de 129 miljoner användarkonton som har tillhörande krypterat lösenord kan komma att publiceras i klartext på internet. Vad har hänt It-företaget Adobe blev för ett tag sedan utsatt för ett dataintrång där miljoner användares e- postadresser, krypterade lösenord och lösenord-hint blev stulna. Antalet användare beskrevs i början som ett par miljoner, nu visar det sig att det är cirka 129 miljoner. Detta är en av de i särklass största kända läckta användardatabaserna någonsin. Den tekniska lösningen Adobe har använt för att lagra lösenorden är en typ av kryptering som bland annat gör det möjligt att se vilka användare som har samma lösenord och i vissa fall även dra slutsatser om det faktiska lösenordet. Det är i dagsläget inte möjligt att dekryptera lösenorden men vad som är väldigt enkelt är att se vilka som har samma lösenord, och vilka lösenord-hints dessa har. Med denna information kan ett stort antal lösenord identifieras.

Hur detta påverkar Sverige Vid sökning på ett par ledande politiker, företagsledare, kändisar och andra har Truesec funnit att vissa lösenord har delats med väldigt många andra. Dels betyder detta att man kan se vilka som har samma lösenord som en själv. Det betyder också att den samlade mängden av lösenord-hints (minnesledtråd) leder till samma lösenord. Det innebär att om en användare är oförsiktig med sitt lösenord-hint, kanske t.o.m. skriver lösenordet i klartext och därmed berättar vilket lösenord alla andra med samma krypterade lösenord har. Ett exempel Exemplet nedan innehåller fiktiv identitet för att skydda personen som i detta fall är en ledande svensk politiker. En sökning bland de 129 miljoner användarkontona på politikern Nisse Nilsson gav följande resultat: Epost Krypterat lösenord Lösenords-hint nisse.nilsson@viktigorganisation.se o+3bg7xsskekxvyyadxdig== I sig självt säger detta inte så mycket, men en sökning på det krypterade lösenordet o+3bg7xsskekxvyyadxdig== i databasen gav 166 träffar, vilket betyder att så många personer har samma lösenord som politikern. Några av dessa personers lösenords-hintar var: Frukt Banan Vad halkar man på fruktmedskal mums bananens yta Med enkelhet kan man dra slutsatsen av vilket lösenord som har använts, och med denna teknik kan ett mycket stort antal lösenord översättas till klartext. I ett värsta tänkbara fall har den här politikern återanvänt lösenordet på andra ställen som t ex för att läsa sin e-post. Statistik Drygt 400 000 av de läckta adresserna i den svenska toppdomänen.se. Ett av Sveriges större företag hade över 1000 registrerade konton i databasen. Ett axplock av lösenords-hintar ifrån olika lösenord till folk i denna miljö är: wife name förkortning på efternamn What has humps arbetsplats gula huset my main password daughter name fotbollsspelare Daughter Statistik visar att mellan 50%-75% av alla människor återanvänder lösenord i olika system. Variationen visar på spannet av olika resultat från olika undersökningar, men belyser samtidigt hur vanligt förekommande problemet är. Lågt räknat innebär detta att 65 miljoner återanvändbara lösenord nu är på drift varav över 200,000 stycken tillhörande svenska konton. Som ett exempel återfanns lösenords-hinten riksdagslosen vilket skulle kunna tyda på personen har samma lösenord på Adobe som på sin arbetsplats. Återigen med förbehåll för att detta inte på något sätt i praktiken innebär att kunskap om detta lösenord skulle vara tillräckligt för att komma åt data eller system tillhörande denna organisation. Ett ytterligare exempel som stärker detta är att flera hundra användare med e-postadresser i.se domänen hade en lösenordshint i stil med Vanligt, Vanliga, det vanliga och liknande

Potentiella risker Truesec anser att det finns en stor risk för att enskilda politiker, företagsledare och kändisar som förekommer i den läckta databasen och har svaga lösenord, blir utsatta för riktade attacker. Ett tillvägagångssätt är att med ovan beskrivna metoder få kännedom om lösenordet för en person och sedan utnyttja det för att komma åt andra tjänster än Adobe där personen använt samma lösenord. T ex e-post, intranät, Twitter, Facebook mm. Truesec anser också att det finns stor risk för att hela företag blir mål för angrepp. Ett tillvägagångsätt är att gå igenom samtliga anställda för ett givet företag som finns med i databasen tills man hittar en som har ett svagt lösenord och använder detsamma på någon av företagets tjänster, så som epost eller intranät tillgängliga över internet. Rekommendationer Truesec rekommenderar generellt att aldrig använda samma lösenord på känsliga arbetsrelaterade tjänster som på externa kommersiella webbsiter på. Med tanke på läckans omfattning och art rekommenderar Truesec alla som har för vana att använda samma lösenord på flera webbsiter att genast ändra alla sina lösenord på känsliga tjänster mot internet. Truesec anser att risken är stor att den här läckan kommer kunna användas en lång tid framöver med förödande konsekvenser och samtidigt med liten risk för att upptäckas. Det tekniska problemet Den här problematiken hade relativt enkelt gå undvika. Truesec vill beskriva lite kort hur det kunde gå så här fel: Det finns etablerade metoder för att lagra lösenord så att de inte går dekryptera, endast verifiera att de är korrekta. Detta har inte används i detta fall. Skulle krypteringsnyckeln komma ut så kommer samtliga användarnamn och lösenord sannolikt publiceras på internet. Lösenord skall inte lagras så att det blir uppenbart vilka användare som har samma lösenord. Då även lösenords-hinten i detta fall är känslig information skulle även den ha krypterats.

Analysdata (Ett axplock) Antal rader i kontodatabasen som är populerade: 129 073 468 Antal rader som är populerade men ej innehåller något lösenord: 22 575 091 Antal rader som tillhör konton i.se domänen (Svenska) : 405 978 Antal rader i.se domänen som saknar lösenord: 57 173 Att notera: Svenska kontoinnehavare förekommer även i andra epostdomäner utöver.se, exempel på det är alla live.com, hotmail.com och gmail.com konton Detta kan härledas genom statistik över svenskars användande av externa eposttjänster, men även genom analys av databasen efter svenskklingande namn, lösenords-hints som använder det svenska språket etc. Exempel på domändata från vissa epostdomäner: gmail.com har 20 758 083 konton i databasen hotmail.com har 27 374 588 konton i databasen live.com har 1 056 122 konton i databasen Med bakgrund av detta uppskattar vi att ungefär en halv miljon krypterade lösenord tillhörande Svenskar förekommer i databasen. Förbehåll dock för att detta är ett antagande. Siffran kan vara både högre och lägre. Vi har även sammanställt analyser av svenska börsbolag etc. Dock innefattas denna information i dagsläget ej i rapporten. För mer detaljerade data, alternativt skräddarsydda analyser, kontakta Truesec. Om rapporten Denna rapport är framtagen av Linus Kvarnhammar, Executive Security Consultant på Truesec i samarbete med Marcus Murray, Cyber Security Manager Truesec. Analysen är utförd av Linus Kvarnhammar tillsammans med kollegor på Truesecs Malmökontor. Om Truesec TrueSec är ett svenskt spetskompetensföretag inom IT-säkerhet, avancerad infrastruktur och säker utveckling. Bolaget har en unik sammansättning expertkonsulter som utför kvalificerade uppdrag åt Svenska och internationella företag, myndigheter och organisationer med högt säkerhetsfokus. Bolaget har kontor i Stockholm, Malmö och Seattle Inom TrueSec återfinns ett antal världsledande experter som genom forskning, föreläsningar och utbildning är med och påverkar utvecklingen inom IT-säkerhet och avancerad infrastruktur. Kontakt för mer information För frågor och presskontakt rörande denna rapport Presskontakt Stockholm: Marcus Murray Telefon: 0709-183001

marcus.murray@truesec.se Truesec AB, Oxtorgsgränd 2, 111 57 Stockholm Presskontakt Malmö Linus Kvarnhammar Telefon: 0709-183013 Truesec AB, Drottninggatan 38, (vån 5) 211 41 Malmö.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss