Af Rasmus Elm Rasmussen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
For lige over en uge siden blev ikke mindre end 443.000 password lækket fra Yahoo. En fejl, der aldrig burde have fundet sted, men som ikke desto mindre skete, primært fordi Yahoo ikke havde styr på egen sikkerhed.
”Yahoo fejlede med den basale sikkerhedshåndtering. De havde placeret alle login-detaljer i en ukrypteret SQL-database, og derved kunne de cyberkriminelle få adgang til dem via en simpel metode kaldet en SQL-injection,” fortæller sikkerhedsekspert fra Eurosecure, Anders Nilsson.
”En SQL-injection er et ret simpelt angreb, som opstår når et program eller en hjemmeside ikke verificerer, at den får det forventede input fra brugeren. I stedet for, for eksempel, at sende et forventet login, kan en ondsindet hacker sende en kommando direkte til databasen, og derved opnå uautoriseret adgang til databasen og derved også til data,” forklarer Anders Nilsson og fortsætter:
”Det er ikke svært at beskytte sig mod SQL-injection, og den vigtigste metode er, naturligvis, altid at bekræfte at input er korrekt. Samtidig burde Yahoo have lagt et ekstra beskyttelseslag på i form af en Web Application Firewall (WAF), der overvåger al trafik til og fra siden. Den ville have opdaget og stoppet et SQL-injection angreb,” siger Anders Nilsson.
Læs også:Sådan får du et sikkert password
Yahoo ikke alene
Desværre er sagen fra Yahoo ikke en enlig svale. I starten af juni blev ikke mindre end 6 millioner passwords lækket fra LinkedIn, og selvom LinkedIn hurtigt var ude at fortælle, at de lækkede passwords ikke længere var valide, så var der en periode, hvor en del af de 150 millioner professionelle brugere af LinkedIn reelt var i risikozonen for at få stjålet deres personlige informationer.
”Når virksomheder som Yahoo og LinkedIn lækker passwords så er det på flere måder problematisk. For det første får potentielle cyberkriminelle adgang til dine personlige data på det pågældende site. For det andet så er der rigtig mange, der genbruger deres passwords, og da login ofte er din email, ja så er det ikke længere kun din Yahoo- eller LinkedIn-konto, der bliver kompromitteret,” forklarer Country Manager hos Eurosecure ESET Danmark Minna Vadsager.
”Dermed kommer din online-identitet i fare, og netop online-identiteter er i høj kurs blandt de cyberkriminelle. De kan nemlig bruges til flere interessante ting,” siger Minna Vadsager og fortsætter:
”Ved at kunne udgive sig for at være dig, har de mulighed for at maskere deres egen lyssky gerninger. De kan for eksempel bruge dine detaljer til at udsende spammail eller til at distribuere mail med malware i,” fortæller Minna Vadsager.
Læs også:Guide: Husk adgangskoden!
Beskyt dig selv
Hjælpen er dog ikke så langt væk. Der er nemlig en række ting, du selv kan gøre for at undgå, at dine detaljer bliver misbrugt på nettet.
”Du kan naturligvis ikke sikre dig mod, at Yahoo eller LinkedIn lækker dine passwords, men der er nogle ting du selv kan gøre for at begrænse katastrofens omfang,” siger Minna Vadsager.
1. Brug forskellige login og passwords på forskellige sites: Hvis du genbruger login og passwords, så gør du også dig selv sårbar. Brug for så vidt muligt aldrig din email som login, og undlad altid at genbruge dit password.
2. Brug ikke tjenester som Facebook, Google+, og Yahoo til login andre steder: Det svarer til at bruge samme login og passwords på flere steder, og det svækker din online-sikkerhed.
3. Brug password-sætninger: På tjenester, du ofte bruger, bør du bruge passwords der er konstrueret af sætninger og ikke af mærkelige ord og tegn. Derved kan du få lange, sikre passwords, der stadig er lette at huske. For eksempel ”Jegkangodtlideblåsocialewebsider” til Facebook.
4. Endelig skal du være forsigtig med, hvad du fortæller om dig selv online. Jo flere detaljer, der ligger om dig, jo mere bliver din online identitet værd for de cyberkriminelle, og jo større problemer kan et lækket password give dig.
Læs også:Guide: Gendan mistede kodeord