Brukerkontoer til salgs

16 nye nettsteder hacket - 620 millioner brukerkonti på avveie

For 20.000 dollar, betalt i bitcoins, er en gigantisk database til salgs.

NOK EN GANG: Det er ikke mer enn en måned siden forrige gigantiske datainnbrudd ble kjent, og nå har det skjedd igjen. Foto: Shutterstock / NTB Scanpix
NOK EN GANG: Det er ikke mer enn en måned siden forrige gigantiske datainnbrudd ble kjent, og nå har det skjedd igjen. Foto: Shutterstock / NTB Scanpix Vis mer

Det er ikke mer enn en snau måned siden vi skrev om tidenes største datalekkasje – 2,7 millarder brukerkonti med 773 millioner unike e-postadresser, stjålet fra over 2.000 ulike nettsteder verden rundt.

Og nå har det skjedd igjen – denne gangen melder The Register om at en database med 620 millioner brukerkonti er til salgs på det mørke nettet. Prisen er snaue 20.000 dollar, eller da rundt 170.000 norske kroner, og betalingen må selvsagt gjøres i kryptovalutaen Bitcoin.

Flere kjente tjenester

Datatyveriene er gjort fra en god håndfull kjente tjenester, der vi antar at flere av dem også har mange registerte nordmenn. The Register har pratet med flere av dem, som bekrefter sine datainnbrudd.

Her er listen:

  • Dubsmash (162 millioner konti) - en tjeneste ikke veldig ulik TikTok, som er populært blant ungdommen
  • MyFitnessPal (151 millioner konti) - treningstjeneste eid av Under Armour
  • MyHeritage (92 millioner konti) - slektsforskning (med mulighet for DNA-sjekking)
  • ShareThis (41 millioner konti) - tjeneste for enkel deling av nettsider via sosiale medier
  • HauteLook (28 millioner konti) - shopping-nettsted for mote
  • Animoto (25 millioner konti) - tjeneste for å lage kule fotoalbum, som vi omtalte allerede i 2007
  • EyeEm (22 millioner konti) - fototjeneste
  • 8fit (20 millioner konti) - trenings- og kostholdstjeneste
  • Whitepages (18 millioner konti) - opplysningstjeneste
  • Fotolog (16 millioner konti) - fotobloggtjeneste
  • 500px (15 millioner konti) - fototjeneste
  • Armor games (11 millioner konti) - spillnettsted
  • BookMate (8 millioner konti) - e- og lydboktjeneste
  • CoffeeMeetsBagel (6 millioner konti) - datingtjeneste
  • Artsy (1 million konti) - kunstnettsted
  • DataCamp (700.000 konti) - e-læringsnettsted

Data som er stjålet inneholder typisk e-postadresser, hashede passord (som må crackes for å avdekkes), navn, kjønn, bosted og lignende, men varierer da fra nettsted til nettsted.

Flere av nettstedene sender nå ut e-poster til sine brukere med beskjed om at de har hatt datainnbrudd og at passordet deres er blitt nullstilt. Bruker du en eller flere av dem, bør du bytte passord umiddelbart.

Hvorfor er det skummelt?

Om du skulle være registrert på en av disse tjenestene, tenker du kanskje at «ja, ja - jeg sluttet å bruke 500px for lenge siden allikevel», og joda – det er selvsagt begrenset hvor mye skade som kan gjøres på en gammel konto av den sorten.

Men – hva om du har brukt det samme passordet andre steder på nettet? På PayPal? Facebook? E-postkontoen din? Da blir det brått litt kjedeligere om noen skulle prøve den samme brukernavn/passord-kombinasjonen der.

Særlig sistnevnte. Vi har sagt det før og sier det igjen – om du er blant dem som stort sett bruker 2-3 passord overalt på nett, så sørg i det minste for at passordet til e-posten din ikke brukes andre steder.

For e-postkontoen din er brått «hjertet» i nettlivet ditt, all den tid de fleste tjenester lar deg nullstille passordet ved å trykke på ei lenke du blir sendt på e-post.

En annen kjedelig ting med datainnbrudd er at e-postadressen din som regel blir å finne i en rekke databaser rundtom på nettet, der bakmennene spesialiserer seg på spam, svindel og den slags. Særlig når dataene også inneholder informasjon om hvilket land du bor i og hva fornavnet ditt er, som da lar dem sende deg e-poster fra «Netflix», «Apple» eller hva det måtte være, som da er særdeles like originalen.

Ulike passord overalt

Det mest sikre er å bruke ulike passord på alle tjenester du er registrert på. Det kan du enten gjøre ved å lage deg «regler» i hodet a la slik appen Password chef fungerer, ved å bruke fri assosiasjon (tenker du på Mr. Miyagi fra Karate Kid når du hører «Animoto» kan passordet være relatert til det) eller bruke en passordtjeneste som 1Password, Lastpass, Dashlane, Keepass eller lignende, som tar vare på alle passordene dine, der du bare trenger å huske ett hovedpassord for å låse dem opp.

Husk også å aktivere tofaktorautentisering på alle nettsteder som støtter det. Det gjør at man i tillegg til passordet trenger en engangskode for å logge på fra en ny enhet – altså litt samme tankegang som med BankID: