Hva er en datalekkasje?

En datalekkasje skjer når informasjon som skulle vært beskyttet, kommer på avveie og blir tilgjengelig for noen som ikke skulle hatt tilgang til den. Det kan dreie seg om alt fra en liten feilkonfigurasjon som eksponerer noen få filer, til at en hel kundedatabase med millioner av brukere havner i hendene på en angriper. Felles for dem alle er at konfidensialiteten brytes: opplysninger som var ment å være private, blir kjent for utenforstående.

For deg som bruker er det viktig å forstå at lekkasjen sjelden er din feil. Den skjer hos tjenesten du har betrodd dataene dine, ikke på din egen maskin. Men konsekvensene rammer deg, og det er en del du selv kan gjøre, både i forkant og i etterkant, for å begrense skaden. Denne artikkelen forklarer hvordan lekkasjer oppstår, hva som typisk kommer ut, hva det betyr i praksis, og hvilke grep som faktisk hjelper.

Hvordan lekkasjer oppstår

Datalekkasjer har mange årsaker, men de fleste faller inn under noen gjengangere. Å kjenne dem gjør det lettere å forstå hvorfor selv store og seriøse aktører blir rammet.

Innbrudd via sårbarheter

En vanlig årsak er at en angriper utnytter en svakhet i programvaren en tjeneste kjører. Det kan være en feil i en nettapplikasjon som gjør at angriperen kan hente ut data fra databasen direkte, eller en uoppdatert komponent med en kjent sårbarhet. Når veien inn først er åpen, kan store mengder data kopieres ut før noen oppdager det.

Svake eller gjenbrukte passord hos ansatte

Mange innbrudd starter ikke med avansert teknologi, men med en konto. Hvis en ansatt bruker et svakt passord, eller gjenbruker et passord som allerede har lekket et annet sted, kan en angriper logge seg inn som om vedkommende var den rettmessige brukeren. Derfra kan angriperen bevege seg videre inn i systemene. Dette er en av grunnene til at passordvaner betyr så mye, et tema som dekkes nærmere i artikkelen om passordsikkerhet.

Feilkonfigurasjon

Noen ganger er det ingen som bryter seg inn i det hele tatt. Data ligger rett og slett åpent tilgjengelig fordi noe er satt opp feil. Et lagringsområde i skyen kan være konfigurert som offentlig i stedet for privat, eller en database kan stå eksponert mot internett uten passord. Disse lekkasjene er spesielt frustrerende fordi de er fullt mulige å unngå, men de er dessverre vanlige.

Phishing og sosial manipulasjon

En angriper trenger ikke alltid å finne en teknisk svakhet. Ofte er det enklere å lure et menneske. Gjennom et målrettet phishing-angrep mot en ansatt kan en angriper få tak i pålogging eller plante skadevare som åpner en vei inn. Hvordan slike angrep fungerer, forklares i artikkelen om phishing.

Innsidere og uhell

Ikke alle lekkasjer kommer utenfra. En ansatt kan med vilje ta med seg data ut, eller en tabbe kan føre til at noe sensitivt sendes til feil mottaker eller publiseres ved en feil. Mistede bærbare maskiner og minnepinner uten kryptering hører også hjemme i denne kategorien.

Hvilke data som havner på avveie

Hva som lekker, varierer med tjenesten, men noen typer går igjen. Verdien for en angriper avhenger av hvor følsom informasjonen er, og hvor lett den lar seg misbruke.

  • E-postadresser og brukernavn. Nesten alltid med i en lekkasje. Alene er de ikke katastrofale, men de er nøkkelen som binder sammen kontoer på tvers av tjenester, og de brukes til målrettet phishing.
  • Passord. Hvor alvorlig dette er, avhenger helt av hvordan tjenesten lagret dem. Var de lagret i klartekst, ligger de åpne for alle. Var de hashet med en sterk metode og salt, er de langt vanskeligere å utnytte. Var de hashet med en svak eller utdatert metode, kan mange av dem likevel gjenopprettes.
  • Personopplysninger. Navn, adresse, fødselsdato, telefonnummer og lignende. Slike opplysninger er nyttige for å utgi seg for å være deg, og for å gjøre svindelforsøk mer troverdige.
  • Økonomisk informasjon. Kortnummer, kontoopplysninger eller transaksjonshistorikk. Dette er blant det mest verdifulle for en angriper og kan føre til direkte økonomisk tap.
  • Sensitiv informasjon. Helseopplysninger, meldinger eller annet som er ekstra privat. Slike data kan brukes til utpressing eller ramme deg på måter som går langt utover det økonomiske.

Et viktig poeng er at en lekkasje sjelden står alene. Angripere kombinerer opplysninger fra flere lekkasjer for å bygge et mer fullstendig bilde av en person. En e-postadresse fra én lekkasje, et passord fra en annen og et telefonnummer fra en tredje kan til sammen være nok til å overta kontoer eller gjennomføre overbevisende svindel.

Hva en lekkasje betyr for deg

Den mest direkte konsekvensen er kontoovertakelse. Hvis et passord lekker og du har brukt det samme passordet flere steder, kan angriperen prøve kombinasjonen av e-post og passord mot mange tjenester. Denne fremgangsmåten, der lekkede påloggingsdata testes automatisk i stor skala, er en av de vanligste måtene kontoer kapres på. Det er nettopp derfor gjenbruk av passord er så farlig: én lekkasje blir til mange brudd.

Videre kommer svindel og identitetstyveri. Med nok personopplysninger kan noen forsøke å opprette konti i ditt navn, eller gjøre phishing-forsøk som virker troverdige fordi de inneholder riktige detaljer om deg. En e-post som nevner navnet ditt, et reelt kjøp eller et faktisk kontonummer, er mye lettere å tro på enn en generisk svindelmelding.

Til slutt kommer den mer langsiktige eksponeringen. Data som har lekket, forsvinner ikke. De sirkulerer, samles i store databaser og dukker opp igjen år etter at den opprinnelige lekkasjen skjedde. Et passord du brukte for lenge siden, kan fortsatt være en risiko hvis du aldri byttet det og fortsatt bruker det et sted.

Hvordan du beskytter deg

Du kan ikke hindre at en tjeneste blir hacket, men du kan sørge for at en lekkasje hos én aktør ikke velter resten av det digitale livet ditt. Noen få vaner gjør det meste av jobben.

Bruk unike passord overalt

Dette er det enkeltgrepet som monner mest. Hvis hvert nettsted har sitt eget, unike passord, er skaden begrenset til akkurat den tjenesten dersom passordet lekker. Angriperen kan ikke bruke det noe annet sted, fordi det ikke finnes noe annet sted. Å huske et eget passord per tjeneste er umulig for et menneske, og det er nettopp derfor en passordbehandler er svaret. Den lager og lagrer lange, tilfeldige passord for deg, slik at du bare trenger å huske ett hovedpassord.

Slå på tofaktorautentisering

Tofaktorautentisering, ofte forkortet 2FA, gjør at et passord alene ikke er nok til å logge inn. I tillegg kreves noe mer, typisk en kode fra en autentiseringsapp eller en fysisk sikkerhetsnøkkel. Selv om passordet ditt lekker, kommer angriperen ikke inn uten den andre faktoren. Dette stopper en svært stor del av kontoovertakelsene som ellers ville lyktes, og bør slås på overalt der det tilbys, særlig på e-post og bank.

Overvåk om dine data har lekket

Det finnes tjenester som lar deg sjekke om e-postadressen din har dukket opp i kjente lekkasjer. Bruker du en, kan du få beskjed når noe nytt skjer, og handle raskt ved å bytte passord på den berørte tjenesten. Mange passordbehandlere og nettlesere har slik overvåking innebygd og varsler deg automatisk dersom et lagret passord er funnet i en lekkasje.

Reager riktig når en tjeneste melder om lekkasje

Får du beskjed om at en tjeneste du bruker har vært utsatt for en lekkasje, bytt passordet der med en gang. Har du brukt det samme passordet andre steder, og det håper jeg du ikke har, må du bytte det alle de stedene også. Følg ekstra godt med på phishing-forsøk i tiden etter, for lekkede opplysninger brukes ofte til å lage troverdige svindelmeldinger rettet mot dem som var berørt.

Del mindre der du kan

Jo mindre informasjon en tjeneste har om deg, desto mindre kan lekke. Det er ikke alltid du har et valg, men der du har det, er det verdt å tenke over om en tjeneste virkelig trenger fødselsdato, adresse eller telefonnummer for å gjøre jobben sin.

Et delt ansvar

Datalekkasjer er en påminnelse om at sikkerhet på nett er et delt ansvar. Tjenestene har plikt til å beskytte dataene dine, lagre passord forsvarlig og rette opp svakheter. Du på din side kan sørge for at en lekkasje hos én aktør ikke får ringvirkninger overalt ellers. De viktigste grepene, unike passord, en passordbehandler, tofaktorautentisering og litt årvåkenhet, er de samme som beskytter deg mot de fleste andre trusler på nett. Det gjør dem til en god investering uansett.

Kilder

Relaterte artikler