Hvad er et datalæk?
Et datalæk opstår, når oplysninger, der skulle have været beskyttede, ender i hænderne på personer uden ret til dem. Det kan dreje sig om e-mailadresser, adgangskoder, betalingsoplysninger, helbredsdata eller hele kunderegistre. Begrebet bruges bredt og dækker både målrettede angreb, hvor nogen aktivt bryder ind i et system, og uheld, hvor data ved en fejl bliver gjort offentligt tilgængelige.
Det er vigtigt at forstå, at et datalæk sjældent rammer den enkelte bruger direkte. Oftest sker det hos en virksomhed eller en tjeneste, der opbevarer mange menneskers data på ét sted. Når et sådant system bliver kompromitteret, kan oplysninger om tusindvis eller millioner af brugere slippe ud på én gang. Det er netop denne koncentration af data, der gør virksomheders systemer til attraktive mål.
Hvordan datalæk opstår
Der findes ikke kun én måde, et læk kan ske på. Nogle af de mest almindelige årsager går igen på tværs af sager.
Svage eller stjålne legitimationsoplysninger
En af de hyppigste indgange er en konto, hvis kodeord enten var for svagt eller allerede var lækket et andet sted. Hvis en medarbejder bruger det samme kodeord på arbejdet som på en privat tjeneste, der senere bliver brudt, kan angribere prøve den kombination og få adgang. Det samme gælder, når kodeord aldrig bliver skiftet eller deles mellem flere personer.
Fejlkonfigurerede systemer
En overraskende stor del af de største læk skyldes ikke avancerede angreb, men simple fejl i opsætningen. En database eller en lagerplads i skyen, der ved en fejl er sat til at være offentligt tilgængelig uden adgangskode, kan ligge åben for enhver, der ved, hvor den findes. Her bliver intet egentligt brudt op, fordi døren stod ulåst fra starten.
Sårbarheder i software
Programmer indeholder fejl, og nogle af dem kan udnyttes til at skaffe sig uautoriseret adgang. Hvis en tjeneste ikke holder sin software opdateret, kan kendte sårbarheder forblive åbne længe efter, at en rettelse er udgivet. Angribere scanner aktivt nettet for systemer, der mangler disse opdateringer.
Menneskelige fejl og insidere
Ikke alle læk kommer udefra. En medarbejder kan ved et uheld sende en fil til den forkerte modtager, miste en bærbar computer eller blive narret af et phishing-forsøg. I sjældnere tilfælde står en person på indersiden bevidst bag lækket. Det menneskelige led er ofte det sværeste at sikre.
Angreb gennem tredjeparter
Mange virksomheder bruger underleverandører og eksterne tjenester, der har adgang til deres data. Hvis en af disse leverandører bliver brudt, kan det ramme alle de virksomheder, der er knyttet til den. Et læk hos én part kan på den måde brede sig til mange andre.
Hvilke data slipper ud?
Konsekvenserne af et læk afhænger meget af, hvilke oplysninger der kommer ud. Nogle datatyper er langt mere følsomme end andre.
E-mailadresser og brugernavne er i sig selv ikke katastrofale, men de udgør ofte den første brik. Kombineret med en adgangskode bliver de til en nøgle. Adgangskoder, der er gemt forsvarligt, altså hashet og saltet, er sværere at misbruge end kodeord, der lå i klartekst, men selv hashede kodeord kan over tid blive knækket, hvis de var svage.
Betalingsoplysninger som kortnumre er åbenlyst værdifulde, men mange tjenester gemmer dem ikke selv, fordi de overlader betalinger til specialiserede udbydere. Mere bekymrende er ofte personnumre, kopier af legitimation, fødselsdatoer og adresser, fordi de kan bruges til identitetstyveri og er umulige at skifte ud, som man skifter et kodeord. Endelig er der særligt følsomme kategorier som helbredsoplysninger, der kan have store personlige konsekvenser, hvis de spredes.
Konsekvenserne af et læk
For den enkelte er den mest direkte risiko, at en lækket konto bliver overtaget. Hvis kodeordet til din e-mail kommer ud, kan en angriber bruge det til at nulstille adgangskoder til alle de andre tjenester, der er knyttet til den e-mail. Derfor er e-mailkontoen ofte den vigtigste at beskytte.
En anden konsekvens er såkaldt credential stuffing. Her tager angribere lister med lækkede kombinationer af e-mail og kodeord og prøver dem automatisk på et væld af andre tjenester. Det virker netop, fordi mange genbruger det samme kodeord flere steder. Et enkelt gammelt læk kan på den måde give adgang til konti, der i sig selv aldrig blev brudt.
Lækkede oplysninger fodrer også målrettet svindel. Når en svindler kender dit navn, din adresse og hvilke tjenester du bruger, bliver det langt lettere at sende en overbevisende falsk besked. Et datalæk og et efterfølgende phishing-forsøg går ofte hånd i hånd.
For virksomheder kommer der oven i de tekniske og økonomiske tab ofte et tab af tillid og et juridisk efterspil. I Europa stiller databeskyttelsesreglerne krav om, at alvorlige brud skal håndteres og i mange tilfælde anmeldes inden for kort tid.
Sådan beskytter du dig
Du kan ikke forhindre, at en virksomhed bliver brudt, men du kan i høj grad begrænse, hvad et læk betyder for netop dig. Nogle få vaner gør den største forskel.
Brug et unikt kodeord til hver tjeneste
Den vigtigste enkelte beskyttelse mod følgevirkningerne af et læk er at undgå genbrug. Hvis hver tjeneste har sit eget kodeord, er skaden begrænset til netop den ene konto, hvis den lækker. Et brud ét sted smitter så ikke af på alle dine andre konti. Da det er umuligt at huske et unikt, langt kodeord til hver tjeneste, er en kodeordsmanager det praktiske svar. Emnet behandles nærmere i artiklen om kodeordssikkerhed.
Slå totrinsbekræftelse til
Med totrinsbekræftelse, ofte forkortet 2FA, kræves der ud over kodeordet et ekstra bevis, typisk en kode fra en app på din telefon. Selv hvis dit kodeord lækker, kan en angriber så ikke logge ind uden også at have det andet trin. Det er en af de mest effektive beskyttelser, og den bør især slås til på e-mail, netbank og andre centrale konti. En app, der genererer engangskoder, er generelt sikrere end koder sendt på sms.
Hold øje med, om dine oplysninger er lækket
Der findes tjenester, hvor du kan tjekke, om din e-mailadresse optræder i kendte læk. Mange browsere og kodeordsmanagere advarer også automatisk, hvis et af dine gemte kodeord dukker op i et læk. Får du en sådan advarsel, bør du skifte kodeordet på den berørte tjeneste med det samme, og overalt hvor du måtte have genbrugt det.
Reager hurtigt på advarsler
Hvis en tjeneste oplyser, at den har været udsat for et brud, så følg dens anvisninger og skift kodeordet uden at vente. Vær samtidig ekstra skeptisk over for beskeder i tiden efter, fordi lækkede data ofte bliver brugt til målrettet svindel. En e-mail, der henviser til netop det brud, du lige har hørt om, kan i sig selv være et forsøg på at udnytte situationen.
Del kun de nødvendige oplysninger
Jo færre steder dine følsomme data ligger, desto mindre er den samlede risiko. Overvej, om en tjeneste virkelig har brug for dit personnummer eller din fødselsdato, før du udleverer det. Data, der aldrig blev indsamlet, kan heller ikke lække.
Det vigtigste at huske
Datalæk er blevet et grundvilkår på nettet, og før eller siden vil de fleste af os optræde i et eller flere. Det afgørende er ikke at undgå dem helt, hvilket man som bruger ikke har magt over, men at sørge for, at et læk hos en enkelt tjeneste ikke kan vælte resten af dit digitale liv. Unikke kodeord, totrinsbekræftelse og en sund skepsis over for opfølgende svindel er den kombination, der reelt begrænser skaden.
