Porno, CPR-numre og lækkede passwords: Kommunalvalgskandidaters datasikkerhed sejler
-
Pornobesøg, CPR-numre og passwords. Sådanne oplysninger har TjekDet kunnet finde på kandidater til det nært forestående Kommunal- og regionsrådsvalg.
-
Baggrunden er, at partierne har lavet kandidatlister, hvor man kan se kandidaternes navne og mailadresser.
-
I adskillige tilfælde er det kandidaternes private mailadresser, der er lagt ud til offentligheden, hvilket IT-kyndige kan udnytte.
-
En stor del af mailadresserne indgår i datalæk, og dermed er dybt følsomme oplysninger frit tilgængelige.
Kommunal- og regionsrådsvalget er lige om hjørnet og valgkampen for flere end 9.000 kandidater er i fuld gang. I den forbindelse har partierne udgivet lister med deres kandidater, så vælgerne kan se, hvem der stiller op for det enkelte parti i de enkelte kommuner.
Listerne indeholder typisk kontaktoplysninger på kandidaterne, så mailadresser, telefonnumre eller kandidaternes sociale medie-profiler fremgår. Det er der som udgangspunkt ikke noget forkert i, men det kan vise sig at være meget problematisk, hvis ikke kandidaterne er opmærksomme på, hvilke kontaktoplysninger de deler.
TjekDet har gennemgået kandidatlisterne, og der tegner sig et billede af, at en meget stor andel af kandidaterne tilsyneladende bruger private e-mailadresser i valgkampen. De private mailadresser indgår i en lang række datalæk, der ofte stammer fra hjemmesider eller virksomheder, der på et tidspunkt er blevet hacket eller på anden vis har fået eksponeret store mængder data om brugere. Det kan udnyttes af IT-kyndige, der ved, hvor de skal finde de forskellige datalæk, men det kræver ikke avancerede IT-kundskaber.
I datalæk kan man normalt ikke se, hvem der ejer en given mailadresse. Men ved at lægge kandidaternes navne ud sammen med deres private mailadresse, er døren åben for uautoriseret adgang til personlige oplysninger.
Datalæk stammer fra alt fra porno- og sexdatingsider, spil- og casinosider og kryptovalutasider til webshops, sociale medier, slægtsforskning og selve e-mailudbyderen. Udover at e-mailadressen - og dermed kandidaten med navn - kan knyttes til det enkelte datalæk og dets potentielt kompromitterende oplysninger, så fremgår kodeordet til e-mailadressen eller til brugeren på en specifik hjemmeside også.
Kodeordene kan - udover i sig selv at være dybt personlige - indeholde oplysninger, kandidaterne næppe ønsker, at fremmede får adgang til. TjekDets research viser, at der findes mange eksempler på ekstremt usikre kodeord, og vi finder også eksempler på kandidater, der tilsyneladende bruger deres CPR-nummer som kodeord. Og det i tillæg til data fra hjemmesider og tjenester, kandidaterne sandsynligvis ikke ønsker, at offentligheden har kendskab til.
Problematikken er gennemgående på tværs af partier, og det er selvom, der findes en relativt simpel og mere sikker løsning: Lav en ny e-mailadresse til offentligt brug, og adskil privatliv og politik.
TjekDet har rakt ud til flere partier og spurgt ind til problematikken om kandidaters brug af private e-mailadresser. Venstre ønsker ikke at udtale sig centralt, men henviser til de enkelte kandidater. Socialdemokratiet har ingen kommentarer til historien. Det samme gælder Liberal Alliance.
TjekDet har valgt ikke at pege på enkelt-kandidater, der optræder i datalæk, da det så bliver endnu lettere at finde frem til dem.
TjekDet har også kontaktet Styrelsen for Samfundssikkerhed, men de er ikke vendt tilbage inden deadline.
Datalæk på datalæk
Datalæk er ikke et nyt fænomen, men er noget, der sker løbende og i større eller mindre omfang. De senere år har der været flere omfattende datalæk. Et af dem skete tidligere i år, hvor Forbes beskrev, hvordan 16 milliarder loginoplysninger blev lækket i det, der muligvis er det største læk af kodeord nogensinde.
Datalæk åbner døren for, at andre kan overtage ens brugerprofiler, ligesom risikoen for målrettet phishing og identitetstyveri bliver højere. Især datalæk af nyere dato kan være farlige, da oplysningerne i ældre datalæk - primært kodeord - kan være forældede og ændrede siden, eksempelvis fordi man er blevet opmærksom på lækket, eller fordi man løbende ændrer kodeord. Men det ændrer ikke på, at de “gamle” og potentielt kompromitterende oplysninger stadig kan findes og bruges af ondsindede aktører - især når det gennem kandidatlisterne er gjort nemt at vide, hvad man skal søge ud fra.
Når der sker datalæk, vil oplysningerne typisk blive delt eller blive sat til salg på det mørke net eller dark web af hackere eller andre, der er kommet i (ulovlig) besiddelse af oplysningerne. Er oplysninger først ude, kan de blive spredt og delt videre, og det er groft sagt umuligt at stoppe.
Kandidaternes hasardspil
Når vi dykker ned i kandidatlisterne, bliver det hurtigt tydeligt, at mange bruger private og ældre e-mailadresser, der over en længere årrække har været brugt på tværs af hjemmesider og til forskellige formål i privat regi. Dermed er chancen for at indgå i datalæk også større. Vi finder også eksempler på offentlige e-mailadresser - eksempelvis e-mailadresser tilknyttet den kommune, kandidaten stiller op i - der indgår i forskellige datalæk, selvom tilfældene og omfanget generelt er mindre. For de offentlige e-mailadresser hænger det ofte sammen med, at kandidaten bruger sin e-mailadresse på sociale medier eller i private sammenhænge.
Nogle kandidater indgår i ganske få datalæk, hvor det eksempelvis “kun” er den private e-mailadresses kodeord, der fremgår. I andre tilfælde indgår kandidaterne i mange datalæk, der går 10-15 år tilbage i tiden. De ældre datalæk kan vi sammenholde med nyere datalæk, og her finder vi adskillige eksempler på kandidater, der har brugt det samme kodeord i 10 år eller længere.
Og ikke nok med det, så finder vi også eksempler på kandidater, der tilsyneladende bruger deres CPR-numre som kodeord og har gjort det over en lang årrække på tværs af hjemmesider, tjenester og platforme. I mindst et tilfælde har en kandidat tilsyneladende brugt sit CPR-nummer som kode til at fra pornohjemmesider, spilhjemmesider, kryptovalutasider og til selve e-mailadressen for bare at nævne nogle få. Meget tyder på, at kandidaten både har brugt sit CPR-nummer som kodeord, hvilket i sig selv er risikabelt, og samtidig har vedkommende tilsyneladende gjort det i mindst 10 år.
TjekDet har kontaktet Ole Willer, der er post.doc. på Copenhagen Business School (CBS) og forsker i cybersikkerhed. Da vi fortæller, at der i mindst et tilfælde er en kandidat, der har brugt sit CPR-nummer som password, og at vedkommende har brugt det på forskellige sider over mange år, bliver han noget forarget:
“Det er så ringe. Jeg har slet ikke nogle ord. Det er så dårligt. Naivt er ikke engang nok til at beskrive det.”
Generelt om brugen af private e-mailadresser siger han, at kandidaterne serverer deres oplysninger på et sølvfad. I datalækkene finder vi nemlig også ip-adresser, privatadresser, telefonnumre og andre personlige forhold og oplysninger i tillæg til oplysninger af mere kompromitterende karakter.
“Når du kan se, at nogle af e-mailadresserne er blevet brugt på hjemmesider som for eksempel pornosider, der er pinligt for kandidaterne, så er der jo potentiale for afpresning,” siger Ole Willer til TjekDet.
Han karakteriserer også selve brugen af private e-mailadresser som værende “pinlig”, fordi det er et tegn på, at cyber- og datasikkerhed ikke er en prioritet for partierne.
For nylig udgav Styrelsen for Samfundssikkerhed, PET og FE en fælles trusselsvurdering mod det kommende kommunal- og regionsrådsvalg. I trusselsvurderingen orienterer de om “relevante trusler, der kan påvirke eller forstyrre valget”, lyder det. Selvom orienteringen ikke fremstår alarmerende, står der blandt andet, at cybertruslen er høj, hvorimod truslen for russisk påvirkning er lav.
Om datalæk og kandidaterne som potentielle mål indgår i vurderingen, ved vi ikke, da det ikke er beskrevet.
11.,12. og 13. november blev trusselsvurderingens forudsigelser til virkelighed, da først en hackergruppe udførte angreb målrettet Danmark, derefter var det en anden hackergruppe, der blandt andet angreb flere kommuners hjemmesider, og dagen derpå stod samme gruppe også bag angreb på blandt andet Transportministeriet, borger.dk og teknologivirksomheden Terma. Senest har samme gruppe lavet et opslag på X, hvor de omtaler valget og kandidater og refererer til et opslag af Katarina Ammitzbøll. Mindst en hackergruppe har altså fokus på netop Danmark og kommunalvalget.
Hvad kan kandidaterne gøre?
Kandidatlisterne er altså blevet opslagsværker over partiernes kandidater, der anvender private e-mailadresser i deres politiske virke og i kommunalvalgkampen.
Det er svært at gardere sig fuldstændig mod datalæk, men partierne og kandidaterne kunne have fulgt nogle simple råd, så de langt hen ad vejen kunne have undgået utilsigtet adgang til kompromitterende eller private oplysninger.
Først og fremmest kan den enkelte kandidat - hvis vedkommende absolut vil bruge sin private e-mailadresse - slå sin e-mailadresse op på haveibeenpwned.com. Her vil det typisk fremgå, om den pågældende e-mailadresse indgår i datalæk. Gør den det, er det en god idé at ændre kodeord og eventuelt undlade at bruge den offentligt.
Har kandidaterne ikke en e-mailadresse, der er tilknyttet partiet eller kommunen, og som kun bruges i den sammenhæng - og altså ikke i private sammenhænge - kan de nemt oprette en ny, privat e-mailadresse, som kun bruges i det politiske virke.
Ole Willer fortæller, at datalæk er et samfundsproblem, som partierne burde tage seriøst:
“Partierne skulle gå forrest og vise, at man godt kan tage hånd om det her problem - især når det er så nemt at lave en dedikeret mail. Det er så unødvendigt at bruge sin private e-mailadresse, og det er udelukkende på grund af dovenskab. Det har intet at gøre med, at det er teknisk kompliceret”.
En ny e-mailadresse vil alt andet lige bidrage til at sikre, at man ikke finder sig selv i et datalæk, da e-mailadressen ikke kan være brugt på hjemmesider, der historisk har mistet eller fået stjålet data. E-mailadressen er med andre ord “ren” - endnu. Vil man bevare den sådan, er det en god idé at adskille arbejde og privatliv, selvom der altid vil være en risiko for, at den nye e-mailadresse kan indgå i et fremtidigt datalæk. Det gælder også parti- og kommunemails.
Der har også været tidligere eksempler, hvor det var folketingsmedlemmers e-mailadresser, der indgik i datalæk, eller som vi på TjekDet tidligere har beskrevet, hvor det var e-mailadresser fra blandt andet Forsvarets Efterretningstjeneste og Kriminalforsorgen, der fremgik af datalæk.
Hvis du kan lide TjekDets artikler og vil være sikker på ikke at gå glip af den nyeste, så følg os på Facebook ved at klikke her. Du kan også tilmelde dig TjekDets gratis nyhedsbreve, hvor vi tipper dig om vores seneste faktatjek, advarer om digital svindel og deler seneste nyt om mis- og desinformation – direkte i din mailindbakke. Tilmeld dig nyhedsbrevene her.
