Aftenposten opplyser ikkje om kva nettstad passorda er lekne på, men NRK kjenner til nettstaden.
Fire statsrådar, tre partileiarar og statsminister Erna Solberg er blant dei mange som har fått gamle passord ut på det opne nettet. I tillegg er passorda til fleire næringslivsleiarar som konsernsjef Sigve Brekke i Telenor lekne.
– Gamalt oppsop
Sikkerheitsrådgjevar og passordekspert Per Thorsheim trur ikkje det er snakk om ein ny lekkasje.
– Så langt ser det ut som om dette er gamalt oppsop av tidegare lekkasjar som kan stamme seks, sju, åtte år tilbake i tid, seier Thorsheim til NRK.
Også kommunikasjonssjef Cathrine Stang Lund i Telenor skriv i ein e-post til Aftenposten at dette er snakk om passord frå kjente databrot frå fleire år tilbake i tid.
– Generelt er det i samfunnet eit heilt anna medvit rundt passordsikkerheit no, skriv ho.
Gigant-lekkasje i fjor
I fjor omtalte NRK ei sak der over ein milliard passord vart funne i ei gigantisk hackerfil på det såkalla «mørke nettet». Det krevjast spesialprogram for å få tilgang til denne delen av internett, og den er ikkje tilgjengeleg via vanlege søk.
Tryggingsekspert Torgeir Waterhouse er direktør for internett og nye medium i IKT-Noreg. Han er også ramma av den nye lekkasjen.
Waterhouse seier det no gjeld mykje det same innhaldet som blei omtalt for et år sidan, men at skilnaden no er at det er gjort tilgjengeleg i ein søkbar database.
– Dette er veldig alvorleg. Men det er også veldig bra at det blir synleggjort. Vi treng å få merksemd og fokus på sikkerheit, seier Waterhouse til NRK.
Passord lagra i klartekst
– Korleis kan dette skje?
– Dei som har laga nettenestene vi har laga passord til, har lagra passorda i klartekst i systemet sitt. I tillegg har dei hatt så dårleg kontroll på tenesta at nokon kan stele dei. Tilleggsproblemet her er at mange bruker same brukarnamn og passord på fleire tenester, seier Waterhouse, og legg til:
– Det mange burde gjere no, er å tenke seg godt om og rydde kalenderen i morgon, og byte passord.
– Neppe blitt hacka
Thorsheim seier han ikkje vil bli overraska dersom dei to lekkasjane er av dei same passorda.
– Når statsminister Erna Solberg står oppført med ein e-postkonto hos Stortinget og eit passord, er det då sannsynleg at det er Erna Solbergs e-post på Stortinget som er hacka?
– Det er heilt usannsynleg. Det er ingen grunn til å tru at e-postkontoane til Erna Solberg eller andre stortingspolitikarar er hacka på nokon måte.
– Korleis kan du seie det?
– Blant anna fordi dei passorda som ligg ute er av ein så dårleg kvalitet at dei ikkje ville passert Stortingets krav til passord. Her er det gjerne krav om at passorda skal innehalde store og små bokstavar, tal og spesialteikn, medan dei passorda som her er lekne berre består av små bokstavar, seier Thorsheim.
– Veldig uheldig
Utviklingsminister Nikolai Astrup (H) bekreftar til Aftenposten at eit passord han har nytta til e-postadressa på Stortinget er lagt ut ope på nettet.
Til NRK seier han at kontoen er deaktivert frå før.
– Det er skremmande at IKT-sikkerheita har vore så dårleg at så mange passord har kome på ville vegar. Det gjer oss alle sårbare. Vi ser på lista over dei som har fått leke passordet sitt, at her er det mykje potensielt sensitiv informasjon som kan leke ut om det kjem i feil hender, seier Astrup til NRK.
Solbergs e-postkonto som skal vere ramma blei deaktivert då ho vart statsminister i 2013, opplyser statssekretær Rune Alstadsæter til Aftenposten.
Landbruks- og matminister Bård Hoksrud (Frp) er også ramma.
– Dette viser at IKT-sikkerheit er viktig, og at vi ikkje bør bruke det same passordet fleire stadar. Eg byter passord jamleg og lyttar til dei råda eg får frå IKT-ansvarlege der eg jobbar, seier Hoksrud til NRK.
Gamalt passord
Statsråd Nikolai Astrup stør det å byte passord ofte og seier det generelt er viktig å ha ein god IKT-tryggleik, særleg på arbeidsplassar.
– Ein må ikkje bruke variantar av det same passordet på ulike kontoar.
Sjølv fekk han vite om lekkasjen av ein Aftenposten-journalist.
– Heldigvis er det eit gamalt passord som eg ikkje har brukt sidan, og eg brukar ikkje variantar av passordet.
