Emailadresser og adgangskoder knyttet til personer, der arbejder for danske myndigheder og organisationer, flyder på internettet. 

Det viser en undersøgelse af forskellige datalæk, som TjekDet har foretaget.

Undersøgelsen viser, at man med få klik i en database, som TjekDet har fundet på internettet, kan fremskaffe oplysninger, som normalt er fortrolige. Udover emailadresse og password er det i flere tilfælde også muligt at knytte navn, telefonnummer og kortoplysninger til den person, der ejer emailadressen. 

Datalæk opstår ved, at en eller flere personer - typisk hackere - på forskellig vis skaffer sig  adgang til offentlige eller private systemer, hvor de tager en kopi af oplysningerne og lægger dem ud på internettet. Her kan oplysningerne havne i en database à la den, som TjekDet har undersøgt, men de kan også ende på markedspladser, hvor interesserede kan købe sig adgang til datalæk.

Ifølge eksperter er det et problem, at den slags oplysninger ligger så frit tilgængelige, fordi de kan misbruges af personer med ondsindede intentioner. 

Men hvordan kan den slags oplysninger egentlig udnyttes?

Så nemt er det

TjekDet har via open source-databasen Intelligence X foretaget stikprøveopslag på danske myndigheder og organisationer ved at søge på myndighedens eller organisationens emaildomæne - altså den del, der kommer efter snabel-a’et.

Intelligence X er en database, der indekserer millionvis af data, som blandt andet stammer fra det mørke internet, offentlige datalæk og platforme, hvor der handles med oplysninger. Lækkene, som TjekDet har fundet, strækker sig fra 2011 til 2024.  

En af de myndigheder, som TjekDet har slået op, er Forsvarets Efterretningstjeneste (FE). Her har vi søgt på fe-ddis.dk, hvor vi finder i alt 70 emailadresser og 38 kodeord, der på forskellig vis er knyttet til FE. De fleste emailadresser består af “fe” efterfulgt af fire cifre, og mange af emailadresserne er ikke nogle, der ligger tilgængelig på FE’s hjemmeside eller fremgår i en normal søgning på Google. 

På trods af det kan TjekDet via databasen finde frem til navnet på indehaveren af emailadressen i 30 tilfælde. Derudover finder vi 16 telefonnumre samt kortoplysninger knyttet til én emailadresse. Dog er kortet udløbet. 

Databasen Intelligence X indekserer milliardvis af data, der blandt andet stammer fra datalæk. Databasen er søgbar, og TjekDet har journalistisk adgang til den. 

Det har ikke været muligt for TjekDet at verificere, om de andre oplysninger er forældede eller stadig er aktive. 

Domænet fe-ddis.dk, som TjekDet har søgt på, er FE’s system til uklassificeret kommunikation. Det fortæller Mikkel Storm Jensen, der er militæranalytiker ved Forsvarsakademiet, hvor han forsker i cyberkonflikt og -strategi. 

Men på trods af det, og selv om nogle af dataene kan være forældede, kan Peter Kruse, der er cybersikkerhedsekspert, se mange scenarier for sig, hvor den slags oplysninger på den ene eller anden måde kan misbruges. 

“Det her kan jo være et afsæt til et angreb, der kan blive endnu værre, fordi man har nogle redskaber og nogle informationer til rådighed, som kan være guld værd, hvis man skal lave et målrettet og avanceret angreb. Oplysningerne gør det meget nemmere at lave noget, der ser troværdigt ud, hvis man ønsker at ramme FE,” siger han. 

Ole Willers, der er post.doc. på Copenhagen Business School (CBS), hvor han forsker i cybersikkerhed, vurderer, at en emailadresse på en person i sig selv ikke giver så meget værdi. 

“Men hvis man kan knytte det sammen med andre data, så kan det jo lige pludselig blive spændende i forhold til at lave en større profil af en person. Det er nemmere at skrive en overbevisende mail, så personen på den anden side rent faktisk tror på, at det er en legitim mail. Så en emailadresse kan være en brik i en større operation,” siger han.

Afsløring: Hør hvordan danske kriminelle ringer til over 9.000 danskere og svindler dem for millioner

Har man for eksempel en emailadresse i kombination med en adgangskode, kan det også være problematisk. Selvom det ifølge Ole Willers ikke er den mest kritiske data, man kan få fat på, så kan værdien af en adgangskode være høj. 

“Man skal helst sørge for ikke at genbruge sin adgangskode til flere logins. Det øger sandsynligheden for, at hackere kan forsøge at trænge ind på forskellige systemer eller platforme. Vi er gennemsnitligt ret dårlige til at have forskellige adgangskoder,” siger han og tilføjer.

“Men en adgangskode har jo ikke så stor værdi, hvis adgangen til et system eller en platform kræver en form for multifaktorgodkendelse, hvor man også skal godkende login gennem en app, et fingertryk eller noget helt tredje.” 

Begge eksperter peger især på, at oplysninger åbner muligheder for såkaldte social engineering-angreb, hvor man forsøger at snyde ofret til at begå sikkerhedsbrud eller til at give oplysninger af forskellig karakter væk. Det kan være spear phishing, der er en målrettet form for phishing, hvor en hacker kan udgive sig for at være en troværdig person eller organisation i en mail med det formål at narre en FE-medarbejder til at dele oplysninger.

TjekDet har forelagt fundene for FE, som i et skriftligt svar til TjekDet oplyser, at de arbejder med et højt sikkerhedsniveau. Samtidig understreger de, at det ikke er alle oplysninger i FE, der er klassificerede.

"Der skelnes altid mellem, om indholdet af en e-mail indeholder klassificerede oplysninger eller ej, inden den sendes, og FE har derfor flere forskellige mailsystemer alt efter klassifikationsgrad. FE be- eller afkræfter af princip aldrig tidligere eller nuværendes medarbejderes eventuelle tilknytning til tjenesten. Af samme årsag kan vi ikke kommentere alvorsgraden af oplysningerne. FE tager dog altid læk af oplysninger om tjenesten alvorligt og vurderer i hvert tilfælde, om der er tale om sensitiv information."

Mødrehjælpen, Region Nordjylland og Kriminalforsorgen er blandt organisationer og myndigheder, hvis mailadresser og kodeord som TjekDet har fundet i et datalæk. Foto: Torben Klint/Ritzau Scanpix

FE ikke de eneste

Udover FE har TjekDet også slået maildomæner tilhørende Mødrehjælpen, Region Nordjylland og Kriminalforsorgen op i Intelligence X’s database for at undersøge, om det er muligt at fremskaffe oplysninger om danske myndigheder og organisationer, som besidder kritisk information om danske borgere. 

Her kvitterer databasen ligeledes med emailadresser og adgangskoder, som på en eller anden måde er tilknyttet de tre instanser. TjekDet kan se, at de samme adgangskoder bliver brugt flere steder, dog ikke til hvad specifikt.

Jens Myrup Pedersen, der er professor ved Institut for Elektroniske Systemer på Aalborg Universitet, er enig med Ole Willers i, at lækkede adgangskoder kan være problematisk. Han understreger derfor vigtigheden af generelt at have “en høj cyberhygiejne”, som han kalder det. 

“Datalæk er svære at gardere sig imod, så man bør sørge for, at datalæk får så lille en påvirkning som muligt. Man kan tale om at reducere sandsynligheden og reducere konsekvensen, og der kommer man langt ved at sikre, at folk ikke bruger den samme adgangskode mere end et sted, og at man har tofaktorgodkendelse. De to ting alene gør det meget sværere at bruge en emailadresse og en adgangskode til noget brugbart,” siger han.

TjekDet har spurgt Region Nordjylland, Mødrehjælpen og Kriminalforsorgen, om de er bekendte med, at deres emailadresser og adgangskoder florerer på internettet.

Kontorchef Michael Lundsgaard Sørensen for Digitalisering og IT ved Region Nordjylland svarer:

“Region Nordjylland er meget bevidst om og opmærksom på de lister over lækkede passwords der findes på blandt andet internettet. Vi monitorer kontinuerligt disse og handler derefter.”

Mødrehjælpen svarer, at de ikke er bekendt med, at der skulle være sket datalæk forbundet med medarbejderes e-mailadresser og kodeord. 

“Vi har ikke set tegn på, at disse data er blevet misbrugt, men det er naturligvis stærkt beklageligt, hvis vi har været sårbare overfor hackere. Mødrehjælpen arbejder aktivt med it-sikkerhed, og vi har over de seneste år løbende strammet op, herunder skærpet vores password-politik og indført tofaktorlogin. Desuden har vi årlige it-sikkerhedsawarenesskurser for medarbejderne.”

Kriminalforsorgen svarer, at de tager informationssikkerhed meget alvorligt. Derfor er de opmærksomme på risikoen forbundet med datalæk.

“Kriminalforsorgen scanner løbende aktive kodeord i vores systemer for at sikre, at kodeord ikke er svage eller omfattet af datalæk. Hvis scanningen viser, at kodeord er omfattet af datalæk, bliver adgangen spærret, indtil kriminalforsorgens bruger har skiftet kodeord,” oplyser de i en mail og tilføjer.

“For at sikre, at kriminalforsorgens information ikke bliver kompromitteret, er information i kriminalforsorgens systemer kun tilgængeligt over internettet ved at bruge flerfaktor-autentifikation. Det er altså ikke muligt for uvedkommende at få adgang til kriminalforsorgens information alene på baggrund af lækkede oplysninger.”

Falsk Tinder-babe lokkede soldater til at ignorere ordrer og forlade deres poster

Milliardindustri

Eksperterne maner til besindighed med hensyn til alvorsgraden af oplysningerne, som TjekDet har fundet, men der findes nyere danske eksempler på alvorlige datalæk, hvilket ifølge Jens Myrup Pedersen understreger, hvorfor man skal være opmærksom på sin it-sikkerhed.

I november 2023 blev ejendomsmæglerkæden EDC udsat for et omfattende hackerangreb, hvor hackere tiltvang sig adgang til deres system og stjal filer og dokumenter, der indeholdt personlige oplysninger om EDC’s kunder. Det være sig kopier af pas, kørekort, sy­ge­sik­rings­be­vis samt CPR-nummer.

Angrebet var et ransomware-angreb, som blev udført af den russiske hackergruppe Black Basta, der krævede en løsesum på seks millioner dollars for ikke at frigive den hackede data. EDC nægtede at betale, så Black Basta frigav kunders følsomme data på internettet.

Et andet eksempel er Alles Lægehus, som blev hacket i december 2024. Her blev oplysninger om sygdomshistorik, henvisninger til sygehuse eller hvilke typer medicin, patienterne får, lækket på et lukket hackerforum.

Det skete på hjemmesiden BreachForums, som er en slags børs for datalæk, hvor man blandt andet kan købe og sælge oplysninger om næsten alt mellem himmel og jord. 

Ifølge Ole Willers findes der mange af den slags markedspladser, men BreachForums er den mest kendte. Den og andre markedspladser bliver jævnligt lukket ned, men som regel dukker de op igen nogle dage efter, siger han. 

Han fortæller, at det er svært at komme med et generelt svar på, hvem det er, der køber og sælger følsomme oplysninger.

“Det er et ret bredt marked, så det er afhængigt af, hvilken type information det er, men det er typisk kriminelle, der på en eller anden måde ønsker at udnytte informationen til økonomisk vinding.”

Og det er en kæmpe industri, siger Ole Willers. 

“Cyberkriminalitet er den største og mest profitable gren af organiseret kriminalitet i verden - større end narko, menneskehandel og prostitution.”

Cyberkriminalitet er en bred betegnelse. Derfor har det ikke været muligt at give et retvisende estimat på, hvor stor økonomien for datalæk alene er. 

En søgning på BreachForums viser, at milliardvis af oplysninger sættes til salg hver dag. Nogle datalister kan hentes helt gratis, andre kan erhverves for ‘credits’, som man kan optjene på platformen ved at være aktiv i form af at kommentere opslag, lave opslag og så videre. 

TjekDet har også fundet flere datalister, som man kan købe for penge eller med kryptovaluta. Nogle lister sælges for få hundrede dollars, men der er også eksempler på lister til knap 20.000 kroner. De dyre datalister indeholder ekstremt følsomme data. Det kan altså blive til store beløb for sælgeren, hvis der er tilstrækkeligt mange købere.

Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her. Du kan også tilmelde dig TjekDet's gratis nyhedsbrev, hvor vi tipper dig om vores seneste faktatjek - direkte i din mailindbakke. Tilmeld dig nyhedsbrevet her.