Passordene deres ligger åpent på nett
1,4 milliarder mailadresser med passord er lekket ut på internett. Samfunnstopper er blant dem som kan spores med et enkelt søk.
Passord som er brukt av statsminister Erna Solberg, Telenor-sjef Sigve Brekke, DNB-sjef Rune Bjerke og en rekke andre norske samfunnstopper, er lagt ut åpent på nettet i en masselekkasje.
En internasjonal gruppe nettaktivister la nylig ut den søkbare databasen på nettet. Av hensyn til de rammede brukerne, har Aftenposten valgt å ikke skrive navnet på nettsiden.
I tillegg til statsminister Erna Solberg, har passord fra fire statsråder og tre partiledere vaert kompromittert av hackerne, viser Aftenpostens søk i databasen. Syv av de hackede e-postadressene tilhørte domenet Stortinget.no.
Erna Solberg opplyser at epostkontoen på Stortinget ble deaktivert da hun ble statsminister i 2013. Utover det har hun ingen kommentar.
– Skremmende
Aftenposten har vaert i kontakt med en rekke nordmenn som kan letes opp gjennom søk på nettstedet. De fleste av dem er sjokkert over at deres personlige passord nå ligger åpent på nettet.
Blant dem er utviklingsminister Nikolai Astrup (H).
– Dette er et passord jeg har benyttet. Det kan jeg bekrefte. Det er et gammelt passord, men mange bruker jo varianter av det samme passordet og det er veldig uheldig, sier Astrup etter at han i går fikk vite at passordet han har brukt til e-postadressen på Stortinget, ligger åpent på nettet.
– Dette er skremmende og viser hvor viktig IKT-sikkerhet er, legger han til.
Bruker navn på barn
Aftenpostens stikkprøver viser at norske toppolitikere og naeringslivsledere tyr til svaert åpenbare og naere fraser når de skal lage sine passord. I mange tilfeller brukes navnet på kona, mannen barn eller hunder, i kombinasjon med fødselsår eller andre tall.
Søk viser at konsernsjef i Telenor, Sigve Brekke, i en periode brukte fornavnet på et naert familiemedlem som passord ved innlogging på jobbmailen.
– Passordet som nevnes for Sigve i denne saken, har ikke vaert i bruk på mange år, og i dag er det helt andre krav til passord enn det var for 8–10 år siden, svarer kommunikasjonssjef Cathrine Stang Lund i Telenor i en e-post på vegne av Brekke. Hun skriver at Telenor kjenner til databasen Aftenposten referer til:
– Det er en samling av lekkede passord fra kjente datainnbrudd fra flere år tilbake i tid. Generelt er det i samfunnet en helt annen bevissthet rundt passordsikkerhet nå.
Også passordet som konsernsjef Rune Bjerke i en periode brukte når han logget seg på jobb-eposten hos DNB, inneholder fornavnet på et naert familiemedlem, etterfulgt av vedkommendes fødselsår.
Kommunikasjonsrådgiver Cecilie Skjennald vil ikke direkte kommentere lekkasjen, men skriver i en generell e-post:
– Alle ansatte i DNB får opplaering i datasikkerhet, der krav til passord er en del av kurset. For å få tilgang til våre systemer må du logge på via en PC fra DNB. E-post er derfor ikke tilgjengelig via nettleseren.
Perpleks Hoksrud
Landbruks- og matminister Bård Hoksrud (Frp) blir perpleks når Aftenposten stopper ham i vandrehallen på Stortinget og viser ham hvor lett tilgjengelig et passord han tidligere har brukt til stortingsmailen sin, ligger på nettet.
– Nei, vet du hva. Jeg har ikke så mye å si om det nå. Det er nok gammelt. Men jeg skal vaere der inne nå, sier Hoksrud og haster inn i stortingssalen.
Finansminister Siv Jensen har også fått røpet passordet på sin Stortings-e-post. Hun vil ikke kommentere saken.
Helseminister Bent Høie (H) sier at det er fem år siden han brukte e-post tilknyttet Stortingets domene.
– Jeg kan ikke huske at jeg har hatt det passordet. På stortingse-post ble vi bedt om å bytte hele tiden, sier Høie.
Aftenposten ringte til seksjonsleder i Sikkerhetsseksjonen på Stortinget, Berit Mauseth Michelet, og forklarte at det er påfallende mange adresser med Stortingets domenenavn.
– Hva tenker dere om at så mange passord tilknyttet stortingsrepresentanter ligger åpent ute på nett?
– Jeg tror jeg skal sluse deg videre til kommunikasjonsansvarlig her, jeg, sier Michelet.
Kommunikasjonsenheten på
Det er et gammelt passord, men mange bruker jo varianter av det samme passordet og det er veldig uheldig
Utviklingsminister Nikolai Astrup (H),
Stortinget besvarte ikke Aftenpostens skriftlige henvendelse i går.
I databasen fremgår det også at en tidligere leder i en stor, norsk mediebedrift brukte passordet «visa», etterfulgt av en tallkombinasjon med fire sifre, ved innlogging på konsernets e-postsystem.
Vedkommende bekrefter overfor Aftenposten at tallene i passordet er det samme som pinkoden på hans VISA-kort er den dag i dag.
– Ja, jeg vet at det er helt idiotisk å lage et sånt passord, men skal man holde styr på alle passordene må man ofte ty til enkle fraser som er innarbeidet, sier han til sitt forsvar.
Han vil nå umiddelbart endre pinkoden.
Hacket sikkerhetssjef
Politimester i Oslo, Hans Sverre Sjøvold, har fått kompromittert sin private e-postadresse. Deretter har hackerne opprettet en ny e-postadresse i hans navn på den russiske mailserveren yandex.ru.
Ironisk nok ble også hackernes nye e-postadresse utsatt for hacking: Den russiske e-postadressen der Sjøvolds navn brukes, er nemlig utstyrt med nøyaktig samme passord som hans egen.
Aftenposten har kontaktet Oslo politidistrikts kommunikasjonsenhet, men ikke fått noen kommentar fra Sjøvold.
En av personene som har fått kompromittert sitt passord, er oppsiktsvekkende nok Nasjonal sikkerhetsmyndighets sjef for IKTsikkerhet, Hans Christian Pretorius. Databasen røper at et av hans passord da han jobbet hos politiet i perioden 2004 til 2006, var navnet på et naert familiemedlem og vedkommendes fødselsdato.
Pretorius bekrefter at han ble kjent med lekkasjen for 3–4 år siden. – Dette er et gammelt passord som ikke lenger er i bruk, men det sier noen om viktigheten rundt bra IKT-sikkerhet.
IKT Norge: Bytt passord nå
En annen sikkerhetsekspert som er rammet, er direktør i IKT Norge, Torgeir Waterhouse. Han gir et tydelig råd til alle nordmenn:
– Dette er ikke bra. Bytt passord nå, uavhengig av om du finner deg selv i slike oversikter eller ei. Hvis du har hatt samme passord over tid, bør det byttes.
Waterhouse sier passordlekkasjene har skjedd fordi de som leverer datatjenestene har gjort en dårlig jobb. Først har de ikke kryptert informasjon når kontoen ble laget, noe som gjør det mulig å få ut passordet. Så har de senere gjort en dårlig jobb med å sikre systemene sine.
– Det er jo dessverre en klassiker, og det finnes en del sånt. Men det er sjeldent at det ligger så åpent, sier Waterhouse.
Vil opplyse folk
Aftenposten har vaert i kontakt med aktivistgruppen som har lagt ut lekkasjen. En talsmann sier motivasjonen for å legge dataene ut på nettet, har vaert å gjøre folk klar over at informasjonen deres kan vaere hacket. Samtidig ber de om donasjoner til prosjektet i kryptovaluta.
– Vi er fem personer i alderen 17 til 37 år. Dataene fant vi gjennom flere dumper med kompromitterte e-postadresser og passord i et undergrunnsforum på nettet, forklarer talsmannen på e-post.
Etter at databasen kom på nettet, har gruppen fått mange henvendelser om sletting av data.
– Vi vurderer nå å skjule passordene. På den måten kan vi unngå hele prosessen med at folk ber om at data blir slettet, sier talsmannen.
Han understreker at passordene fortsatt vil vaere tilgjengelige en rekke andre steder på nettet gjennom hackernes lekkasjer.
Dataene fant vi gjennom flere dumper med kompromitterte e-postadresser og passord i et undergrunnsforum på nettet
Talsmann for hackerne