Det er ikke meningen, at andre skal se dine dybt personlige og følsomme dokumenter, men ikke desto mindre flyder det frit på nettet. P1 Orientering og Databaseredaktionen i DR Danmark har modtaget en oversigt med over 2,1 millioner filer, der ligger frit fremme på knap 700 eksterne netværksharddiske.

Et dokument hedder ”Annes personlighedstype.” Et andet ”Om forældremyndighed,” et tredje ”kodeord,” og så er der en journal fra et sygehus, mens det vrimler med dokumenter om boliglån, årsopgørelser, lønsedler, pensionsoversigter og kontoudtog. Igen og igen dukker CPR-numre op.

Der er også foto af kørekort og mange privatfotoer af bryllupper, fester og børn.

En sikkerhedsekspert har samarbejdet med DR og lavet oversigten, fordi han er bekymret over følsomme oplysninger, der ligger offentligt fremme.

Det kræver intet kodeord at se filerne, der ligger på nettet. På samme måde som man taster en webadresse - som for eksempel www.dr.dk - skal man i stedet for www blot skrive ftp:// og den relevante adresse. Derefter stryger man direkte ind på folks netværks-harddisk og kan se personlige mapper og filer.

Sikkerhedsbrist: Det overgår min vildeste fantasi

To DR-journalister har undersøgt, om de mange filer, som ligger frit fremme, er følsomme eller ej. Efterfølgende har vi kontaktet en række personer og advaret dem om, at de havde offentliggjort dele af deres privatliv.

De anede det ikke.

En af dem er Niels Kjærgaard Madsen, der studerer biomedicin på Aarhus Universitet.

- Det er ikke rart, at man bliver kigget over skulderen. Jeg havde aldrig tænkt, at filerne lå frit fremme. Jeg havde regnet med, der var et kodeord. Det er lidt træls, siger Niels Kjærgaard Madsen.

Han havde især lagt dokumenter om studiet og job frem og glæder sig over, at der ikke var meget følsomme oplysninger:

- Men det kunne, der godt have været, siger han.

Mikkel Hasle fra Aarhus havde mest ældre dokumenter om blandt andet jobsamtaler og budget på sin netværksharddisk, som han sjældent bruger.

- Vi tilstræber os på at være meget private og går op i sikkerhed. Det har i hvert fald ikke været tiltænkt at dele de her dokumenter. Jeg havde ikke i min vildeste fantasi tænkt, at min netværks-harddisk skulle give andre den adgang, som den gør, siger han.

Mikkel Hasle har lige som flere andre personer, DR har kontaktet, fået lukket sikkerhedshullet.

Eksempler på filer og mapper som ved en fejl var offentlige

Stort problem med pivåbne harddiske

Problemerne med fortrolige dokumenter, der vises offentligt, skyldes typisk, at en netværksharddisk (NAS) er sat forkert op. De eksterne netværksharddiske kan købes for cirka 5-600 hundrede kroner og opefter og er blevet meget udbredte de seneste år, hvor de bruges som alternativ til for eksempel onlinetjenesterne Dropbox, One Drive og iCloud, forklarer Leif Jensen, administrerende direktør for antivirusprogrammet Kaspersky Lab i Danmark.

Men når folk kobler harddisken til netværket derhjemme, får mange ikke sikret sig ordentligt.

- Det er desværre et stort problem, at mange netværksharddiske står åbne, og folk deler private dokumenter og fortrolige oplysninger, siger han.

Kriminelle hugger folks identitet

Hackere og kriminelle kan misbruge fortrolige oplysninger, der ved en fejl ligger frit fremme, fortæller Christian Damsgaard Jensen lektor på DTU, hvor han underviser i it-sikkerhed på sektionen System Security.

For eksempel kan CPR, pas eller kørekort bruges til identitetstyveri, der i dag er mere udbredt end for fem år siden.

- Kriminelle kan overtage identiteten på folk og bestille varer i deres navn. Enten risikerer folk at miste det beløb, som varen koster, eller de kan få en rasende masse besvær. Er man udsat for identitetstyveri, risikerer man at bruge årevis på at fjerne oplysninger og få genetableret ens gode navn og rygte, siger han.

En anden risiko er, at oplysninger om for eksempel diagnoser og andre helbredsoplysninger kommer frem, selvom folk ønsker, de skal være private. Det er heller ikke heldigt, hvis modparten i retssager ser oplysninger, før sagen kommer i retten, forklarer han.

Hackere scanner for sårbarheder

Hvis en netværksharddisk først er sat forkert op, kan hackere og it-kriminelle forholdsvist let finde frem til den. Med en gratis tjeneste som for eksempel Shodan scanner hackere nettet efter netværks-harddiske, som står helt åbne, som de eksempler DR har undersøgt.

Samtidig finder de også netværksharddiske, der ofte kun er beskyttet med adgangskoden fra fabrikken: password.

Man er ikke beskyttet, hvis man blot tænder netværksharddisken i ny og næ, forklarer Christian Damsgaard Jensen fra DTU. Scanningerne foregår løbende.

- Folk kan være uheldige at blive fundet i det øjeblik, de er på. En halv eller hel time er rigeligt tid til at blive fundet, siger han og fortæller, at hackerne ikke kun leder efter åbne netværksharddiske.

Tidligere har der været fokus på webcams, hvor hackere kunne se direkte ind i folks stuer, hvis de var forkert opsat.

Sikkerheden er følsom

Man bør tænke sig godt om, når man køber en netværksharddisk. På nogle produkter er standardindstillinger ikke gode nok, så folk risikerer, at offentliggøre ting uden at ville det, forklarer Leif Jensen, adm. direktør for Kaspersky i Danmark.

- Forbrugerne har ikke aktivt valgt, at enheden skal være tilgængelig for alle andre, siger han.

Niels Kjærgaard Madsen, der studerer biomedicin på Aarhus Universitet, er blevet mere betænkelig ved sin netværksharddisk.

- Sikkerheden er følsom. Man skal ikke bare tro på, at alt er i orden, siger han.

Sådan undersøgte DR sikkerheds-huller