Artikel top billede

(Foto: Computerworld)

Nettet husker, også dine svar til kontogendannelse

Personlige ”sikkerhedsoplysninger” til gendannelse af konti på sociale medier som Facebook mv. er en sand guldgrube for cyberkriminelle, der kan stjæle både dine konti, kodeord eller måske endog hele din identitet, hvis de finder dem.

Af Palle Vibe, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Vil du registrere – eller har du registreret dig på Facebook eller andre portaler – er du sikkert blevet præsenteret for en masse forskellige naive spørgsmål, som du kan svare på for at kunne gendanne din konto, hvis du skulle have glemt dit password eller lignende.

Disse såkaldte ”sikkerhedsspørgsmål” er gerne af typen ”Hvad hed gaden, hvor du boede som barn”? Det er jo ret uskyldigt, og kan det skaffe dig til adgang til dine forskellige konti i en nødsituation, er det jo også vældig praktisk. Men stop! Det er nu, du skal tænke dig om.

Dine svar på spørgsmålene kan nemlig leve på nettet i al evighed og give cyberkriminelle rig mulighed for at hacke sig ind og gå på opdagelse i både din profil og de kommentarer, du og andre efterlader uden overhovedet at kende dit password. For det kan jo netop nulstilles ved at svare rigtigt, og er du måske ligefrem blevet tagget af gamle kammerater fra samme gade, giver sagen jo næsten sig selv.

På samme vis indebærer det en lige så alvorlig risiko at afsløre, at dit første job var medhjælper på en tankstation, for det er også et typisk sikkerhedsspørgsmål. Der er eksempler på, at sådanne oplysninger er blevet hacket og delt op til flere hundrede gange med kommentarer og det hele.

Ikke fjæsbogen alene

Men det er ikke kun på Facebook og tilsvarende sociale medier, at du kan komme galt af sted. Lad os sige, at du søger nogle bestemte reservedele til din bil og finder hjemmesiden for et specialfirma, der netop forhandler de dele, du er på jagt efter. Du skal dog lige registrere dig som kunde med password og opnå en masse fordele, ekstra rabatter og andre gode ting, ud over, at du så også altid på bedste Facebook-vis vil kunne finde tilbage og gendanne din konto eller nulstille dit password, hvis du en dag skulle have glemt det. MEN det kan godt give dig en falsk tryghed.

Og denne mulighed for kontogendannelse bruges af adskillige institutioner på nettet som bl.a. en så pæn og populær portal som Ebay, der rutinemæssigt beder brugerne om at svare på sikkerhedsspørgsmål. Du kan sådan set bare springe dem over, men det fremgår ikke helt gennemsigtigt, hvordan du gør det. Og hvis uvedkommende ”datascrabere” kan hacke svarene, kan de forholdsvis let opnå fuld adgang til dine konti uden at kende dine kodeord.

Sådan blev 50 millioner Facebook-brugere udnyttet.

Et andet tilbagevendende sikkerhedsspørgsmål er: ”Hvad hed dit første kæledyr”? Og kommer du først til at afsløre, at dit første kæledyr var en kat, du kaldte Kispus, kan hackere let koble dit navn til din konto og skippe dit password. Det var selveste Microsoft-stifter Bill Gates også fuldt ud bevidst om, da han på et tidspunkt i 2007 i det populære tv-program Daily Show af værten Jon Stewart tilsyneladende helt uskyldigt blev spurgt, om han kunne huske navnet på sit første kælekræ. Eller ”Hvilken model var din første bil”? Og har du på et tidspunkt lagt et billede op af dig selv som stolt nybagt køretøjejer, har du uløseligt knyttet dit navn sammen med svaret. På samme facon ligger svaret på det tilsyneladende uskyldige spørgsmål: “Hvor mødte du din tilkomne”? også rimeligt lige for, hvis du lægger et billede af jer begge i en glad stund på Kreta ud på nettet.

Sikkerhedseksperten Brian Krebs opremser en lang række yderligere eksempler med billeder på sin blog https://krebsonsecurity.com.
Men selv om du hverken har lagt sigende billeder ud af dig selv eller er blevet tagget på tilsvarende facon af andre, kan enhver personlig oplysning, du giver om dig selv, din smag eller livsstil på nettet, resultere i et hav af uventede konsekvenser.

Post-doc psykolog Aleksandr Kogan udviklede en app ved navn ”This Is Your Digital Life”, og det blev startskuddet til en skandale.

De data, du kan trække fra personprofiler på populære og dermed også meget brugte sociale medier som eksempelvis Facebook, kan faktisk ligefrem ændre et valgresultat! Tænk blot på den meget omtalte ” Cambridge Analytica” skandale, hvor det nu lukkede politiske analyseinstitut Cambridge Analytica indsamlede personlige data om mere end 50 mio. Facebook-brugere uden deres vidende og brugte oplysningerne til at skabe adfærdspsykologiske modeller, som kunne påvirke potentielle vælgere i forbindelse med forskellige politiske kampagner.

Hvordan klarer du så lige den?

Det bedste, du kan gøre, er indlysende nok at svare bevidst forkert på spørgsmålene. Men som altid kræver det en god hukommelse at lyve, og du gør derfor også bedst i at skrive løgnesvarene omhyggeligt ned, hvis du eventuelt en dag skulle glemme dit kodeord og få brug for dem. Men fald ikke for fristelsen til at lade et af svarene fungere som et nulstille-kodeord, for det vil en hacker også kunne regne ud, og så er du lige vidt. I realiteten er der ikke mange helt skudsikre måder at beskytte netdata på. Og de mest effektive er så besværlige i brug, at de færreste har lyst til at anvende dem. Det vil altid være en balance mellem sikkerhed og brugervenlighed.

Stor skandale i familien

Facebook-Cambridge Analytica dataskandalen er navnet på en skandale, der omhandlede en politikerbestilt indsamling af langt over 87 mio. identificerbare persondata. Affæren begyndte i 2012 med, at den unge post-doc psykolog Aleksandr Kogan ansat som lektor ved universitetet i Cambridge, udviklede en umiddelbart uskyldig app kaldet ”This Is Your Digital Life”, som han bl.a. demonstrerede for Cambridge Analytica.

Visse politikere indså hurtigt nytteomfanget af denne app og bestilte i 2014 en undersøgelse, hvor adskillige hundredetusind Facebook-brugere deltog under løfte om, at alle oplysninger alene var til brug for et afgrænset videnskabeligt og akademisk projekt. Problemet var bare, at den måde Facebook er opbygget på, ikke blot tillod appen at indsamle personlige profiloplysninger fra de brugere, der var indforstået (inkl. tidslinje, venner osv), men også fra hele deres netværk i øvrigt. På den måde nåede antallet af personer, der mere eller mindre frivilligt kom til at afgive personlige oplysninger, op på millioner.

En del af deltagerne gav desuden appen lov til - udover at indsamle hvilke opslag, de havde liked, deres fødselsdag, nuværende bopælsby og fysiske position - at tilgå News feed, timeline og messenger-meddelelser. Og disse oplysninger gav fuldt tilstrækkeligt grundlag til, at Cambridge Analytica kunne udarbejde psykografiske profiler af deltagerne, der gav mulighed for at opstille en skabelon for hvilken form for markedsføring, der mest sandsynligt ville påvirke deltagerne til at tage en given politisk retning.

De indhentede data er angiveligt blevet brugt i forbindelse med kampagner, der involverede såvel de daværende præsident-kandidater Ted Cruz og Donald Trump som den britiske Brexit-kampagne. Affæren affødte naturligvis enorm folkelig protest, hvilket igen førte til en ophedet offentlig diskussion om politikeres og rådgiveres moral og etik. Cambridge Analytica lukkede sig selv i maj 2018.