Et stort hackerangreb mod Kommunernes Landsforening (KL) må efterlade nogle ansatte med meget røde ører, fordi man ikke har gjort nok for at sikre personoplysninger bedre.
Det er reaktionen fra it-sikkerhedsekspert ved virksomheden CSIS Peter Kruse.
Han kalder angrebet for 'en yderst pinlig affærre for KL', fordi det viser, at organisationen slet ikke har haft styr på sin it-sikkerhed.
- Der må være nogen, som græmmer sig. Sådan et angreb underminerer tilliden til organisationer, fordi det viser, hvor sårbart deres system er, at de ikke har beskyttet data bedre. Det er direkte pinligt for KL, siger han.
40.000 kodeord lå frit fremme
Det var Rigspolitiet, som i går eftermiddag gjorde KL opmærksom på, at brugerdata fra deres hjemmeside havde været til salg på nettet i ti dage.
Ukendte hackere havde stjålet data fra abonnenter af KL's nyhedsbrev og brugere af KL's database Dialogportalen, der er et forum for faglig sparring.
- Der er mange muligheder for svindel, når der er tale om en så stor lækage som denne her. Denne form for data har relativ høj værdi blandt kriminelle, siger Peter Kruse.
I alt havde hackere fået adgang til navne, stillinger, arbejdssteder, mailadresser, telefonnumre og adgangskoder på 40.000 mennesker. Oplysninger som cpr-numre eller bankoplysninger blev ikke hacket, oplyser KL.
Peter Kruse kan slet ikke forstå, hvorfor en så stor organisation som Kommunernes Landsforening ikke har bygget en bedre forsvarsmur mod hackerangreb. Og især mod et angreb af denne kaliber, som han betegner som 'helt klassisk'.
- Det er problematisk, at så nemme indbrud kan foregå. Her er der ikke tale om 'rigtig' hackeraktivitet. Det er formentlig unge mennesker, som bare sidder og leger, siger han.
Regel nummer et, når man skal sikre brugernes data, er at kryptere informationer som adgangskoder. I fagsprog hedder det, at man 'hasher' adgangskoderne, så de ikke kan aflæses ved et angreb, som det KL er blevet udsat for.
I KL's tilfælde har adgangskoderne ligget frit fremme, og det går ifølge Peter Kruse imod al sund fornuft inden for it-sikkerhed.
KL kræver redegørelse af leverandør
- •
Hos KL erkender kommunikationschef Ida Thuesen, at den manglende kryptering er en fejl. KL har nu bedt deres leverandør af it-sikkerhed om en redegørelse.
- •
- Der er ingen tvivl om, at det skulle have været krypteret. Det er dybt beklageligt, siger hun.
- •
I går, da KL fik nys om hackerangrebet, lavede man straks ændringer, så brugernes kodeord nu automatisk bliver krypteret.
- •
For en måned siden lavede KL i samarbejde med it-levenrandører et sikkerhedstjek, og alle forslag til forbedringer er blevet indført, forklarer kommunikationschefen.
- •
- Men det er klart, at sådan en sag gør, at vi bliver nødt til at kigge på det igen. Vi vil gøre alt for at undgå, at det sker igen, siger Ida Thuesen.
Risikerer identitetstyveri
KL har nu bedt alle 40.000 brugere om at nulstille deres adgangskoder til databasen, og de nye kodeord bliver skjult.
Men Peter Kruse forklarer, at skaden alligevel kan være sket for nogle brugere. Al erfaring viser, at vi ikke er særlig gode til at have forskellige kodeord til vores mail, Facebook-konto og andre online platforme.
Vi genbruger kodeord. Og derfor er der risiko for, at hackerne ved dette angreb også kan få adgang til folks Facebook-profil eller for eksempel Gmail-konto ved blot at bruge folks kodeord til KL's hjemmeside.
Fordi KL ikke har haft bedre styr på it-sikkerheden, risikerer brugerne af KL's platform at blive udsat for eksempelvis identitetstyveri, forklarer Peter Kruse.
Hackerne har interesse i at sælge folks oplysninger videre på nettet, fordi personfølsomme oplysninger er guf for kriminelle, der vil stjæle andres identiteter.
De kan også sælge folks data, for at det kan blive brugt til såkaldt misinformation, hvor man ytrer sig på nettet med falsk en identitet, forklarer han.
Her kan it-kriminelle udgive sig for at være en af brugerne fra KL's database og misbruge identiteten til for eksempel at lokke andre til at overføre penge.