På hjemmesiden “Have I’ve been Pwned” (“HIBP”) har Troy Hunt siden 2007 indsamlet de data dumps, som har været til salg på bl.a. i hacker fora på Dark Web. Disse data dumps har han indlæst i en database, som du kan søge i.
Jeg har kigget ind i disse data og tallene er overraskende.
HIBP’s database indeholder data fra 457 data dumps henover de sidste 14 år., hvilket gør at databasen indeholder over 10 milliarder af data (altså bl.a. brugernavne/email adresser og passwords). Vi er anslået 7,8 milliarder mennesker på jorden idag, hvoraf en stor del endnu ikke har adgang til internettet!
Sandsynligheden for, at din emailadresse er i databasen, er ret stor. Og sandsynligheden for, at dit password IKKE er unikt, er ligeledes stor!
Du kan teste det selv på hjemmesiden.
I 2016 var registrerede HIBP 90 data dumps. Det var fx. AdultFriendfinder, Mac Forum, Epic Games. I 2015 var det Ancestry, Experian og Ashley Madison. Du kan finde listen over de 457 hacks/data dumps her.
I 2019 var der “kun” 49 registrerede hacks og deraf data dumps, men høsten af data var enorm. Blot bruddet på Verification.io udgjorde over 760 mio. data!
I gennemsnit har hvert databrud afsløret lige godt 22 millioner af data.
Databasen indeholder desuden oplysninger på over 12 milioner kreditkort.
Det er vigtigt her at huske, at virksomhederne henover de samme år har fået opdateret sikkerheden, som burde reducere antallet af hacks. Men omvendt, så kommer der også hele tiden nye internet sider, som kræver et login og password af os.
Hvad skal vi – som IT-ansvarlige – bruge disse oplysninger til?
For det første, så viser tallene hvor vigtigt at vores medarbejdere ikke benytter deres firma-email adresser til private hjemmesider.
For det andet så skal vi tilsikre at vores medarbejder benytter stærke passwords, som ikke er de samme, som de bruger a) andre steder og b) private steder.
For det tredie, så skal vi se at få implementeret 2FA eller endnu bedre MFA på firma relaterede logins, såvel, som private.
I dette link forklarer jeg hvordan du sikrer din Linkedin-konto, Gmail, Facebook, m.fl. med 2 faktor authentikering.
Og endelig for det fjerde: Password er ikke sikre.
Toby Hunt har også benyttet denne database til at analysere de mange passwords, og der er nogle klare gengangere. På HIBPs hjemmeside har han valgt at gøre det muligt at downloade en fil med 573.000.000 passwords! Filen er for stor til lige at analysere med Excel, men søg lidt på nettet efter de 100 mest benyttede password!
Forestil dig nu at hackerne tog listen med de 1.000 mest benyttede passwords og skrev et lille program, der kunne logge ind for Facebook, Gmail, Linkedin, Scor, Hotmail, Lotto, osv. Når hackeren så får fingrene i din emailadresse (fundet på firmaets hjemmeside), så tester de den med dette lille program. Forestil dig nu at hackerne er i besiddelse af en kraftig computer, der hurtigt kan løbe 1.000.000 password igennem……
Og så er vi tilbage til punkterne 1, 2 og ikke mindst 3.
Det er afgørende for IT-sikkerheden i en virksomhed at der er en god “password” politik. Det er også vigtigt at IT-sikkerhed indser at virksomhederne er pokkers sårbare, såfremt de alene beskytter adgangen til virksomhedens systemer blot med brugernavn og passwords.
Læg her til den kraftige stigning i målrettet “phishing”, hvor brugerne falder igennem og afleverer deres brugernavne og passwords!
Min konklusion og klare råd her er: få implementeret 2- eller Multi faktor authentikering!
Der foretages væsentligt flere hackerangreb end disse! HIBP er alene fokuseret på de angreb, hvor hackerne har fået adgang til data (Som de så har solgt videre. Men angreb, som Maersk, Demant og ISS, som, de fleste i Danmark har hørt om, er UDENFOR Troy Hunt og HIBP’s scope.
Endelig indeholder HIBP’s database kun de kendte data dumps. Der vil være talrige af hacker angreb, som af flere grunde ikke er kendte.
