Det finns inga världsmästerskap i usel datasäkerhet. Men teknologiföretaget Yahoo verkar göra sitt yttersta för att vara förberedda ifall att ett sådant snart skulle ordnas. Den 22 september 2016 meddelade de att användarinformation från minst 500 miljoner konton hade stulits. Alltså över en halv miljard konton.
Som om man på Yahoo inte skulle ha varit helt övertygade om att den åstadkommelsen skulle räcka till för att cementera en förstaplats i Århundradets Uslaste Datasäkerhet så meddelade de – bara tre månader senare – att det, i ett antagligen orelaterat intrång, läckt ut information från över en miljard konton.
Har du ett Yahoo e-post konto men har glömt ditt lösenord? Ingen fara – ditt lösenord finns antagligen på nätet. Och mycket möjligen en massa annan information du inte (heller) ville att skulle komma ut.
Då databaser med användarinformation stjäls är det frågan om ett så kallat dataintrång (eng. data breach). Likt mängden ställen som erbjuder överprissatt kaffe så verkar mängden dataintrång varit kraftigt stigande de senaste åren. Men vad gäller dataintrång så kan vi inte skydda oss genom att bara konstatera ”Fem euro för en kopp glorifierat koffein – skämtar du?” Dataintrång är något vi alla kan råka ut för utan att vi ens märker det. Därför är det viktigt att veta lite mera om fenomenet. (Med andra ord: läs vidare.) (Snälla, läs vidare. Husis märker om ingen läser min blogg.)
Hur kan man veta om ens information varit med i ett dataintrång?
Likt världsmästerskapet i usel datasäkerhet så finns det inte heller någon tävling om mest allmännyttiga webbplats. Men om ett sådant pris delades ut skulle australiensiska säkerhetsexperten Troy Hunt ligga mycket väl till för att få det. Han upprätthåller en sida där man kan se om ens e-postadress(er) finns med på listor över en stor mängd kända dataintrång.
Sidan heter Have I Been Pwned och hittas på www.haveibeenpwned.com. ”Pwned” är internet slang för ”owned,” och används t.ex. i spel då någon klart dominerat en annan spelare. Fritt översatt heter alltså sidan ”har jag blivit ägd.”
Det är väldigt enkelt att kolla om man varit med i någon av de dataintrången som finns på sidans listor:
- Gå till adressen www.haveibeenpwned.com.
- Skriv in din e-postadress i fönstret.
- Tryck på return eller klicka på ”pwned?”
www.haveibeenpwned.com – din vän i dataintrångens tidevarv
Sedan får du se om den givna adressen varit med i ett känt dataintrång. Har du flera olika e-postadresser så lönar det sig att kolla dem alla.
Under fliken ”Notify me” kan du skriva in en e-postadress på en varningslista. (Du kan göra det flera gånger om du har flera olika e-postadresser.) Efter det måste du ännu verifiera att det är din e-post genom att klicka på en länk som du får i ett mejl skickad till den e-posten. Sedan är det klart, och du får ett meddelande om adressen dyker upp i ett nytt dataintrångsfall som Troy Hunt och haveibeenpwned får veta om. Så enkelt är det!
Aaaaaargh, haveibeenpwned.com säger att jag varit med i ett dataintrång – vad nu?
Vad kan man göra åt saken om man varit med i ett dataintrång? Tyvärr är svaret: väldigt lite. Och det är till och med ett överoptimistiskt svar. Egentligen är svaret: (så gott som) ingenting alls. Har din data läckt ut på nätet så har den. Men vad du kan göra är att minimera skadan som kan ske utöver den som redan skett. De två viktigaste sakerna är:
- Byt lösenordet och säkerhetsfrågorna på tjänsten i fråga.
- Byt lösneordet och säkerhetsfrågorna på alla andra tjänster där du har använt samma lösenord eller säkerhetsfrågor.
Det är speciellt på grund av dataintrång som det är en väldigt dålig idé att återanvända lösenord eller säkerhetsfrågor. Skurkarna har märkt att vi är tidsoptimerande (läs: lata) vad gäller att hitta på unika lösenord. Får de tag på ett av våra lösenord så kan de testa det på en massa andra tjänster för att se om vi använt samma. Detsamma gäller för säkerhetsfrågor (typ ”vad hette ditt första husdjur”). Fast man inte vet lösenordet så kan man komma åt någons konto om man vet svaret på säkerhetsfrågorna.
Har man tur så är informationen i dataintrånget krypterat, vilket gör livet klart svårare för bovarna. (Jag kommer att tala mera om olika sorters kryptering i senare inlägg.) Men man kan tyvärr inte lita på att all viktig information är krypterad. Ibland är t.ex. lösenord krypterade men inte svaren på säkerhetsfrågorna.
Förra gången skrev jag om hur man skapar starkare lösenord (lösenfraser, inte lösenord). I kommande inlägg tittar jag närmare på andra viktiga frågor som har med lösenord och säkerhet att göra: tvåfaktorsverifiering, lösenordshanterare, tryggare svar på säkerhetsfrågor (spoiler alert: ljug!) med mera.
Men nu tycker jag du har orkat läsa tillräckligt mycket för den här gången. (Märkte ni, Husis? De läste hela vägen till slut!) Jag tackar och bockar – och bjuder som tack för din tid på en kopp överprissatt kaffe nästa gång vi ses.