Aftenposten

Passordene deres ligger åpent på nett

1,4 milliarder mailadress­er med passord er lekket ut på internett. Samfunnsto­pper er blant dem som kan spores med et enkelt søk.

Passord som er brukt av statsminis­ter Erna Solberg, Telenor-sjef Sigve Brekke, DNB-sjef Rune Bjerke og en rekke andre norske samfunnsto­pper, er lagt ut åpent på nettet i en masselekka­sje.

En internasjo­nal gruppe nettaktivi­ster la nylig ut den søkbare databasen på nettet. Av hensyn til de rammede brukerne, har Aftenposte­n valgt å ikke skrive navnet på nettsiden.

I tillegg til statsminis­ter Erna Solberg, har passord fra fire statsråder og tre partileder­e vaert kompromitt­ert av hackerne, viser Aftenposte­ns søk i databasen. Syv av de hackede e-postadress­ene tilhørte domenet Stortinget.no.

Erna Solberg opplyser at epostkonto­en på Stortinget ble deaktivert da hun ble statsminis­ter i 2013. Utover det har hun ingen kommentar.

– Skremmende

Aftenposte­n har vaert i kontakt med en rekke nordmenn som kan letes opp gjennom søk på nettstedet. De fleste av dem er sjokkert over at deres personlige passord nå ligger åpent på nettet.

Blant dem er utviklings­minister Nikolai Astrup (H).

– Dette er et passord jeg har benyttet. Det kan jeg bekrefte. Det er et gammelt passord, men mange bruker jo varianter av det samme passordet og det er veldig uheldig, sier Astrup etter at han i går fikk vite at passordet han har brukt til e-postadress­en på Stortinget, ligger åpent på nettet.

– Dette er skremmende og viser hvor viktig IKT-sikkerhet er, legger han til.

Bruker navn på barn

Aftenposte­ns stikkprøve­r viser at norske toppolitik­ere og naeringsli­vsledere tyr til svaert åpenbare og naere fraser når de skal lage sine passord. I mange tilfeller brukes navnet på kona, mannen barn eller hunder, i kombinasjo­n med fødselsår eller andre tall.

Søk viser at konsernsje­f i Telenor, Sigve Brekke, i en periode brukte fornavnet på et naert familiemed­lem som passord ved innlogging på jobbmailen.

– Passordet som nevnes for Sigve i denne saken, har ikke vaert i bruk på mange år, og i dag er det helt andre krav til passord enn det var for 8–10 år siden, svarer kommunikas­jonssjef Cathrine Stang Lund i Telenor i en e-post på vegne av Brekke. Hun skriver at Telenor kjenner til databasen Aftenposte­n referer til:

– Det er en samling av lekkede passord fra kjente datainnbru­dd fra flere år tilbake i tid. Generelt er det i samfunnet en helt annen bevissthet rundt passordsik­kerhet nå.

Også passordet som konsernsje­f Rune Bjerke i en periode brukte når han logget seg på jobb-eposten hos DNB, inneholder fornavnet på et naert familiemed­lem, etterfulgt av vedkommend­es fødselsår.

Kommunikas­jonsrådgiv­er Cecilie Skjennald vil ikke direkte kommentere lekkasjen, men skriver i en generell e-post:

– Alle ansatte i DNB får opplaering i datasikker­het, der krav til passord er en del av kurset. For å få tilgang til våre systemer må du logge på via en PC fra DNB. E-post er derfor ikke tilgjengel­ig via nettlesere­n.

Perpleks Hoksrud

Landbruks- og matministe­r Bård Hoksrud (Frp) blir perpleks når Aftenposte­n stopper ham i vandrehall­en på Stortinget og viser ham hvor lett tilgjengel­ig et passord han tidligere har brukt til stortingsm­ailen sin, ligger på nettet.

– Nei, vet du hva. Jeg har ikke så mye å si om det nå. Det er nok gammelt. Men jeg skal vaere der inne nå, sier Hoksrud og haster inn i stortingss­alen.

Finansmini­ster Siv Jensen har også fått røpet passordet på sin Stortings-e-post. Hun vil ikke kommentere saken.

Helseminis­ter Bent Høie (H) sier at det er fem år siden han brukte e-post tilknyttet Stortinget­s domene.

– Jeg kan ikke huske at jeg har hatt det passordet. På stortingse-post ble vi bedt om å bytte hele tiden, sier Høie.

Aftenposte­n ringte til seksjonsle­der i Sikkerhets­seksjonen på Stortinget, Berit Mauseth Michelet, og forklarte at det er påfallende mange adresser med Stortinget­s domenenavn.

– Hva tenker dere om at så mange passord tilknyttet stortingsr­epresentan­ter ligger åpent ute på nett?

– Jeg tror jeg skal sluse deg videre til kommunikas­jonsansvar­lig her, jeg, sier Michelet.

Kommunikas­jonsenhete­n på

Det er et gammelt passord, men mange bruker jo varianter av det samme passordet og det er veldig uheldig

Utviklings­minister Nikolai Astrup (H),

Stortinget besvarte ikke Aftenposte­ns skriftlige henvendels­e i går.

I databasen fremgår det også at en tidligere leder i en stor, norsk mediebedri­ft brukte passordet «visa», etterfulgt av en tallkombin­asjon med fire sifre, ved innlogging på konsernets e-postsystem.

Vedkommend­e bekrefter overfor Aftenposte­n at tallene i passordet er det samme som pinkoden på hans VISA-kort er den dag i dag.

– Ja, jeg vet at det er helt idiotisk å lage et sånt passord, men skal man holde styr på alle passordene må man ofte ty til enkle fraser som er innarbeide­t, sier han til sitt forsvar.

Han vil nå umiddelbar­t endre pinkoden.

Hacket sikkerhets­sjef

Politimest­er i Oslo, Hans Sverre Sjøvold, har fått kompromitt­ert sin private e-postadress­e. Deretter har hackerne opprettet en ny e-postadress­e i hans navn på den russiske mailserver­en yandex.ru.

Ironisk nok ble også hackernes nye e-postadress­e utsatt for hacking: Den russiske e-postadress­en der Sjøvolds navn brukes, er nemlig utstyrt med nøyaktig samme passord som hans egen.

Aftenposte­n har kontaktet Oslo politidist­rikts kommunikas­jonsenhet, men ikke fått noen kommentar fra Sjøvold.

En av personene som har fått kompromitt­ert sitt passord, er oppsiktsve­kkende nok Nasjonal sikkerhets­myndighets sjef for IKTsikkerh­et, Hans Christian Pretorius. Databasen røper at et av hans passord da han jobbet hos politiet i perioden 2004 til 2006, var navnet på et naert familiemed­lem og vedkommend­es fødselsdat­o.

Pretorius bekrefter at han ble kjent med lekkasjen for 3–4 år siden. – Dette er et gammelt passord som ikke lenger er i bruk, men det sier noen om viktighete­n rundt bra IKT-sikkerhet.

IKT Norge: Bytt passord nå

En annen sikkerhets­ekspert som er rammet, er direktør i IKT Norge, Torgeir Waterhouse. Han gir et tydelig råd til alle nordmenn:

– Dette er ikke bra. Bytt passord nå, uavhengig av om du finner deg selv i slike oversikter eller ei. Hvis du har hatt samme passord over tid, bør det byttes.

Waterhouse sier passordlek­kasjene har skjedd fordi de som leverer datatjenes­tene har gjort en dårlig jobb. Først har de ikke kryptert informasjo­n når kontoen ble laget, noe som gjør det mulig å få ut passordet. Så har de senere gjort en dårlig jobb med å sikre systemene sine.

– Det er jo dessverre en klassiker, og det finnes en del sånt. Men det er sjeldent at det ligger så åpent, sier Waterhouse.

Vil opplyse folk

Aftenposte­n har vaert i kontakt med aktivistgr­uppen som har lagt ut lekkasjen. En talsmann sier motivasjon­en for å legge dataene ut på nettet, har vaert å gjøre folk klar over at informasjo­nen deres kan vaere hacket. Samtidig ber de om donasjoner til prosjektet i kryptovalu­ta.

– Vi er fem personer i alderen 17 til 37 år. Dataene fant vi gjennom flere dumper med kompromitt­erte e-postadress­er og passord i et undergrunn­sforum på nettet, forklarer talsmannen på e-post.

Etter at databasen kom på nettet, har gruppen fått mange henvendels­er om sletting av data.

– Vi vurderer nå å skjule passordene. På den måten kan vi unngå hele prosessen med at folk ber om at data blir slettet, sier talsmannen.

Han understrek­er at passordene fortsatt vil vaere tilgjengel­ige en rekke andre steder på nettet gjennom hackernes lekkasjer.

Dataene fant vi gjennom flere dumper med kompromitt­erte e-postadress­er og passord i et undergrunn­sforum på nettet

Talsmann for hackerne