773 millioner brukerkonti lekket

Den største passord-lekkasjen til nå

Sjekk om du er rammet og gjør nødvendige tiltak.

NÅ BØR DU SJEKKE: 773 millioner brukerkonti skal være på avveie. Selv fant vi vår e-postadresse i fire ulike datainnbrudd. Foto: Shutterstock / NTB Scanpix
NÅ BØR DU SJEKKE: 773 millioner brukerkonti skal være på avveie. Selv fant vi vår e-postadresse i fire ulike datainnbrudd. Foto: Shutterstock / NTB Scanpix Vis mer

De siste årene har vi sett mange store datainnbrudd, der millioner av brukernavn og passord har kommet på avveie, som for eksempel:

  • 153 millioner Adobe-brukerkonti (2013)
  • 359 millioner MySpace-brukerkonti (2008)
  • 164 millioner LinkedIn-brukerkonti (2012)
  • 68 millioner Dropbox-brukerkonti (2012)
  • 30 millioner Ashley Madison-brukerkonti (2015)

Men i går ble det ny «rekord» – skaperen av nettstedet haveibeenpwned, Troy Hunt, identifiserte hele 773 millioner unike e-postadresser i den store lekkasjen «Collection #1».

87 gigabyte

Fila med disse e-postadressene og passordene sirkulerer nå rundtom på nettet og er hele 87 gigabyte av størrelse.

Totalt består den av 2,7 millarder linjer, men skal altså ha 773 millioner unike e-postadresser, som skulle tilsi at hver av dem i gjennomsnitt har 3,5 oppføringer.

Innholdet stammer fra over 2.000 ulike databaser. Vi finner to .no-domener i listen, åtte .se-domener (Sverige) og syv .dk-domener (Danmark), for å nevne noe.

Listen over domener som er med i datalekkasjen teller over 2.000 rader.
Listen over domener som er med i datalekkasjen teller over 2.000 rader. Vis mer

Og som ikke det var nok, har Hunt nettopp fått tak i Collection 2, 3, 4 og 5, så dette kan bli ganske stygt. Mer informasjon om denne lekkasjen finner du i Hunts blogginnlegg.

MER PÅ LAGER: Vedkommende som står bak Collection 1-samlingen har flere lister tilgjengelig – nesten 1.000 gigabyte med brukerdata. De kan kjøpes for 45 dollar. Skjermbilde: Brian Krebs
MER PÅ LAGER: Vedkommende som står bak Collection 1-samlingen har flere lister tilgjengelig – nesten 1.000 gigabyte med brukerdata. De kan kjøpes for 45 dollar. Skjermbilde: Brian Krebs Vis mer

Sjekk om du er rammet

Den nevnte nettsiden, haveibeenpwned, samler inn data fra disse lekkasjene, slik at du kan søke etter din e-postadresse for å se om den har vært med i ett av de mange datainnbruddene. Nettsiden finner du på haveibeenpwned.com.

Taster jeg inn min e-postadresse, får jeg for eksempel vite at den var med i Adobe-, Disqus- og Linkedin-innbruddet, samt en svær samling á la den nevnte for halvannet år siden.

OOPS: E-postadressen min var med i disse tre datalekkasjene, samt en annen, større samling.
OOPS: E-postadressen min var med i disse tre datalekkasjene, samt en annen, større samling. Vis mer

Verdt å merke seg er at du ikke får se passordet du har brukt. Hunt lagrer ikke brukernavnene og passordene side om side, men på passord-søket kan du taste inn et passord og se om det har vært med i et datainnbrudd.

Og får du beskjed om at du er med i en eller flere lekkasjer, bør du bytte passord på det aktuelle nettstedet, samt alle andre nettsteder der du har brukt det samme passordet.

Bruk unike passord

For igjen kommer oppfordringen – det er veldig dumt å bruke samme brukernavn og passord-kombinasjon flere steder. Da holder det at ett nettsted opplever datainnbrudd for at uvedkommende kan logge seg på din konto andre steder også.

Vurdér sterkt å bruke en såkalt «password manager», som lar deg generere helt unike passord på alle nettsteder, der passordlisten din er beskyttet av ett passord (det eneste passordet du trenger å huske, som da kan være langt og avansert).

Selv bruker vi Lastpass, men det finnes også flere andre konkurrenter, som 1Password, Dashlane, KeePass og flere.

Alternativt kan du gjøre det i hodet ditt, for eksempel ved at du lager deg «regler», der du typisk har en «stamme» som går igjen, og som du krydrer med noe unikt for hver tjeneste. Det være seg første og siste bokstav, antall vokaler i navnet på tjenesten eller hva det måtte være (gjerne flere slike variable).

En annen mulighet er å bruke fri assosiasjon – dersom det første du tenker på når du hører Dropbox er da du mistet en eske på tærne, kan passordet være JegMistaEskenRettPåStortåai2013!.

Lett å huske, umulig å gjette. Og praktisk talt umulig å cracke.

…og husk tofaktorautentisering

Bruk også tofaktorautentisering på alle tjenester som tillater det. Da må du i tillegg til brukernavn og passord oppgi en engangskode (typisk sendt per SMS eller via en kodegenerator) når du vil logge på for første gang fra en ny enhet.

Da er det ikke helt krise om noen får tak i brukernavnet og passordet ditt.