(Bilde: Ingvar Bjork, Shutterstock 193423634 / NorSIS / Trend Micro)

Derfor er eBay-hackingen så alvorlig

To eksperter forklarer farene og hva du kan gjøre.

Nylig ble en stor mengde informasjon om alle eBays 145 millioner brukere sjålet. Både navn og adresser, e-post-adresser, telefonnumre og fødselsdatoer ble tatt i angrepet, og det høye antallet berørte gjør innbruddet til et av de aller største i Internetts historie.

Ifølge eBay var riktig nok passordene krypterte, men selskapet har ikke gått ut med noen detaljer rundt hvordan de skal ha vært sikret. Personopplysningene var imidlertid ikke sikret i det hele tatt, og kan derfor snart bli salgsvare for kriminelle.

Det mener Vidar Sandland, seniorrådgiver ved Norsk senter for informasjonssikring, og han får støtte fra sikkerhetsekspert Rik Ferguson. Han mener private data nå vil komme på billigsalg, men er som Sandland likevel mest opptatt av de stjålne passordene.

Ønsker å kunne slå til mot vennene dine

Vidar Sandland, seniorrådgiver i NorSIS.
Vidar Sandland, seniorrådgiver i NorSIS.Foto: NorSIS

At kriminelle vil få fatt i alle personopplysningene som forsvant er det lite man kan gjøre med. Det man imidlertid kan gjøre er å skifte passordet sitt overalt hvor det har blitt brukt.

Begge ekspertene påpeker at passord gjenbrukes av altfor mange, på altfor mange steder samtidig, og at dette er langt mer alvorlig enn folk later til å tro.

– Når de fleste bruker samme brukernavn og passord overalt, både på Facebook, Gmail, Hotmail og alle andre steder, får passord svært høy verdi for kriminelle. Det er for eksempel alt de trenger for å svindle vennene dine fra din e-post eller Facebook-konto, sier Sandland til Hardware.no.

Han forteller at det er tre verktøy som alle svindlere bruker; nemlig frykt, lokkemidler og tillit.

– Noen vil skremme deg, og kan vise meldinger som «du har fått virus». Andre vil lokke med at du kan få noe gratis, eller har vunnet noe. Men når de spiller på tilliten din utgir de seg for å være noen du stoler på, som banken, teleoperatøren, eller venner og bekjente. Microsoft-saken som gikk for en stund siden spilte på tillit og frykt. Men du må ha en ryggmargssrefleks der du tenker før du trykker – det farligste på nettet er deg selv.

– En universalnøkkel til hele livet ditt

Sikkerhetsekspert Rik Ferguson i Trend Micro.
Sikkerhetsekspert Rik Ferguson i Trend Micro.Foto: Trend Micro

Det mest alvorlige er likevel hvis e-posten og eBay-kontoen din har delt passord. Rik Ferguson, global VP for sikkerhetsforskning i sikkerhetsselskapet Trend Micro, forklarer hva som er problemet.

– Hvis du har hatt det samme, enkle passordet på både eBay og e-posten din, har du i praksis gitt bort en universalnøkkel til hele livet ditt. Da hjelper det ikke å ha forskjellige passord på alt annet, for de kriminelle kan bare gå gjennom alle steder du har en konto og trykke «nullstill passord», advarer Ferguson.

Han foreslår at man oppretter en egen separat e-post-konto, som man utelukkende bruker når man skal registrere seg forskjellige steder. Da vil noen som får tak i din «vanlige» e-post ikke kunne gjøre et slikt grep; men denne kontoen må selvfølgelig holdes trygg med et helt unikt passord.

– Det ideelle er å ha et unikt passord for alt, og den beste måten å gjøre det på er å ha et program som håndterer det for deg. Vi har DirectPass, men du kan også bruke Lastpass eller en rekke andre. Trenger du et eksempel på hvorfor, er det bare å ta en titt på Wired-journalisten som fikk hele sitt digitale liv utslettet, sier han til Hardware.no.

Les vår guide til hvordan du setter opp slike programmer:
Slik slipper du å huske et eneste passord »

Stjålne e-postkonti utbredt i Norge

Hos NorSIS bekrefter Sandland at e-postkontoer som noen har skaffet seg urettmessig tilgang til er et stort problem, også her til lands. NorSIS leverer tjenesten Slettmeg.no, og de får ifølge ham et stort antall henvendelser om kaprede Gmail-konti.

– Ofte skyldes dette folk som er blitt lurt til å gi fra seg brukernavn og passord på falske nettsider. Men det er klart at for kriminelle er det alltid bedre å ta en svær database som eBay. Da får du millioner av passord, og slipper å lure ett og ett offer, sier han.

Dersom e-posten din skulle bli kapret er det dessuten sjelden noen måte du kan se det på, forteller Sandland. Hans anbefaling er å skru på tostegs-autentisering, slik at ingen kommer inn i e-posten uten å for eksempel ha mobiltelefonen din også.

Google tilbyr 2-stegs-verifikasjon som fungerer på tvers av både Gmail, Google Drive, og alle de andre tjenestene deres.
Google tilbyr 2-stegs-verifikasjon som fungerer på tvers av både Gmail, Google Drive, og alle de andre tjenestene deres.

– Hvis noen har fått tak i passordet ditt uten at de gjør noe du kan oppdage, som å bytte til et nytt passord, kan de følge med på alt du foretar deg helt usynlig, sier Sandland.

– Men om du har slått op totrinns-verifikasjon kommer de ikke inne selv om de har både brukernavn og passord. Dette er et tiltak som finnes de fleste steder, og blir viktigere og viktigere, så det er bare å skru den på. Mange tror kanskje det er komplisert og vanskelig, men det er faktisk veldig enkelt, forteller han.

Gjør det lett å forbigå kryptering

At mange passord gjenbrukes er dessuten ikke hele problemet. Det er nemlig en annen utbredt uvane som gjør at selv den hardeste kryptografi ikke vil kunne holde de fleste passord sikre fra innbruddstyver.

– Mange er glade i å holde det enkelt, og «passord123» er fremdeles veldig utbredt. En jeg kjenner skulle hjelpe moren sin med noe på nettet, og da han ba om passordet viste det seg å være «999999». Da han utbrøt «mamma, du må gjøre det mer komplisert» – foreslo hun å legge til flere nitall, humrer Ferguson lett oppgitt.

Problemet med enkle passord er at kriminelle som prøver å «låse dem opp», samme hvor godt sikret de er rent teknisk, bare trenger å gjette. Enkle kombinasjoner og veldig utbredte passord er de første som prøves ut, og når man har en hel database kan man gjette tusenvis av kombinasjoner i sekundet.

For svært mange brukere trenger de kriminelle dermed bare et sekund eller to før passordet er funnet – og derfra er altså veien kort til å overta de andre kontoene til de berørte, eller for den saks skyld å begynne med svindel på eBay. Når det gjelder de personlige dataene mener ekspertene planen er mye lettere å se – de skal selges.

– Noen kjøper denne informasjonen

Da butikkjeden Target i USA ble hacket, endte tusenvis av kredittkort på svartebørsen.
Da butikkjeden Target i USA ble hacket, endte tusenvis av kredittkort på svartebørsen.Foto: Lynn Watson / Shutterstock.com

– Når noen skaffer seg tilgang til slik informasjon er det mest vanlige å selge den videre i undergrunnsmiljøer, fordi dette kan de tjene penger på. Til syvende og sist er det penger de er ute etter, og andre kjøper denne informasjonen, sier Sandland.

Han mener likevel ikke norske eBay-kunder har grunn til å være så fryktelig bekymret for identitetstyveri. Opplysningene det er snakk om er stort sett offentlig tilgjengelig fra før av, og kan ikke brukes til stort for seg selv.

– I Norge er ikke navn, adresse og fødselsdato nok til å foreta identitetstyveri. Selv personnummeret skal i Norge ikke være nok til å kjøpe abonnementer eller slikt. Men jo mer du vet om en person, desto større sjanse er det for at du kan bli utsatt for ID-tyveri.

For de som ønsker å skaffe seg slike data urettmessig, er likevel eBay-hackingen gode nyheter. Ferguson forteller nemlig at innbrudd på denne enden av skalaen vanligvis presser ned prisene på informasjonen som stjeles.

– Personopplysninger handles det mye med, og som vi så i Target-saken, hvor et stort antall stjålne kredittkort havnet på billigsalg, vil de store datamengdene det er snakk om nå drive ned prisene. På undergrunnsmarkedet er nemlig prisene veldig preget av tilbud og etterspørsel, forklarer Ferguson.

Les også: Target-sjefen går av etter gigantisk hackerangrep »

– Sånt skjer, og det vil skje igjen

Til tross for det store omfanget, de mulige skadevirkningene, og de mulige bruksområdene kriminelle kan ha for data av typen som er stjålet, er ikke Sandland overrasket over det som har skjedd.

– Passord vil komme på avveie, du vet bare ikke når eller hvor, men det er jo utrolig uheldig. Dette skjer med jevne mellomrom, og det kommer til å skje i fremtiden. Uansett hvem vi har levert fra oss brukernavn og passord til, kan vi ikke stole på at disse dataene ikke kommer på avveie. Det er derfor det er så viktig at forbrukeren tar sine forholdsregler, fastslår Sandland.

Ferguson sier derimot han hadde forventet at en så stor aktør som eBay ville være i forkant med sin sikkerhet, så han er også litt overrasket. Men han er ikke helt enig i at passord alltid kommer til å gå tapt.

– Å si at passordene vil komme ut er veldig pessimistisk. Det stemmer at datainnbrudd skjer, og hvis en hacker vil inn, så kommer han seg inn. eBay er en diger skattekiste med data, så når noen ser det og bestemmer seg for at de ikke kommer til å stoppe før de får tilgang, så vil de til slutt klare det. Men det er så mye du kan gjøre likevel, og målet med sikkerhet bør være å hindre angriperne i å stikke av med det de kom for å få tak i.

Håper ikke passordene var krypterte

Ferguson er dessuten ikke helt begeistret over eBays forsikringer om at passordene var krypterte. Hvis det faktisk er tilfelle vil nemlig de mange millioner brukerne som erfaringsmessig neppe bytter passord få det enda tøffere.

– Passord skal aldri krypteres. Å si de er krypterte er enkelt å forstå, så jeg håper det bare er derfor de bruker det ordet. Men kryptering er en toveis prosess. Det som er kryptert kan også dekrypteres. Derfor skal passord alltid hashes i stedet, sier han.

Hashing er en enveis matematisk funksjon som ikke er mulig å dekryptere; altså å åpne opp igjen etterpå. Dersom hashede passord blir stjålet er det fortsatt mulig å knekke dem ved å gjette, med såkalte «bruteforce»-angrep, eller ved å bruke regnbuetabeller – hvor man på forhånd regner ut hvordan alle mulige kombinasjoner av tegn vil se ut hvis de hashes. Dette tar nødvendigvis veldig mye tid og datakraft.

– Så jeg kan ikke forestille meg et øyeblikk at eBay ville brukt kryptering på passordene. Forhåpentligvis har de hashet dem med en sterk algoritme, og ikke noe svakt som for eksempel MD5. Så håper jeg de har brukt individuelle salt for hvert passord. En venn av meg lagde en video som på en smart og morsom måte forklarer forskjellen mellom hashing og kryptering, avslutter Ferguson.

Se videoen her:

Les også Fergusons kommentar:
Oy vey, eBay... her har du fem spørsmål »

Hardware.no har forsøkt å hente inn en uttalelse fra eBay, men selskapet hadde ikke besvart våre henvendeler da saken ble publisert.

Kommentarer (20)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen