Flere tusen hos myndighetene rammet av gigantisk passordlekkasje

1,4 milliarder passord som er på avveie er publisert offentlig. Nå viser det seg at mange ansatte i sentrale maktinstitusjoner er rammet.

Bildekollasj slottet, politiet, forsvaret og Stortinget

Lekkasjen inneholder passord til ansatte både på Slottet, i politiet, forsvaret og stortingspolitikere.

Foto: Lise Åserud/NTB Scanpix, NRK, VEGARD WIVESTAD GRØTT / NTB SCANPIX, MATS HJELMELAND / FORSVARET

– Kan være dramatisk, sier sikkerhetsekspert Torgeir Waterhouse i IKT Norge.

Tidligere denne måneden meldte Aftenposten at 1,4 milliarder passord er lekket i en søkbar database. Blant annet statsminister Erna Solberg, Telenor-sjef Sigve Brekke og DNB-sjef Rune Bjerke er rammet.

Nå viser det seg at ansatte i nærmest alle nasjonale myndigheter og større organisasjoner er berørt. Her er noen eksempler på hva databasen inneholder:

  • 552 passord tilknyttet forsvarets e-postadresser.
  • 500 passord tilknyttet Utenriksdepartementets e-postadresser.
  • 364 passord tilknyttet i politiets e-postadresser.

I tillegg finner man passordet til ansatte i mange nasjonale mediebedrifter, sykehus, Stortinget, Sametinget, kommuner og tilsynsorganer.

Se hele oversikten nederst i denne artikkelen. Og her kan du sjekke om du er rammet.

Etter at lekkasjen ble kjent har offentlige personer blitt utsatt for datainnbrudd:

  • Stortingsrepresentant Anette Trettebergstuen fikk hennes Twitter-konto hacket.
  • Ap-politiker i Kristiansand, Mette Gundersen, opplevde misbruk av hennes e-postadresse i bystyret.

– Dramatisk

De 1,4 milliarder passordene som nå er publisert offentlig stammer trolig fra omtrent 250 ulike passordlekkasjer i perioden 2004 til desember 2017. Det er ukjent hvilke tjenester passordene stammer fra.

Sikkerhetsekspert Torgeir Waterhouse i IKT Norge sier til NRK at det kan være dramatisk at passord knyttet til ansatte i myndighetene er på avveie.

– Et eller annet sted inn i disse lekkasjene kan det ligge muligheter for å logge inn et sted for å fremstå at man er en sentral person, eller finne informasjon om en sentral person.

Torgeir Waterhouse i IKT-Norge kommer med sine råd.

Torgeir Waterhouse i IKT Norge kommer med sine råd.

– Kan brukes som pressmiddel

Waterhouse poengterer at informasjonen kan brukes som et pressmiddel mot ansatte i det offentlige.

– Noen kan logge seg på forskjellige tjenester du bruker, i verste fall jobbmailen. Da kan de fremstå som deg, eller bruke infoen til å presse deg.

Sikkerhetseksperten understreker at passordlekkasjer kommer til å skje igjen og igjen.

– Vi klarer ikke å gardere oss mot at dette skjer. Derfor må vi sørge for å ha flere nivå med sikkerhet, og øke kompetansen til de ansatte.

UD: Kommenterer ikke sikkerhetstiltak

Utenriksdepartementet (UD) understreker at det ikke er en lekkasje fra deres datasystemer.

– Lekkasjen har vært kjent i sikkerhetsmiljøer i flere år og representerer ingen trussel mot våre IKT-systemer, mener kommunikasjonssjef i UD, Frode Overland Andersen.

Hvilke tiltak vil dere gjøre eller har gjort med denne lekkasjen?

– UD kommenterer ikke på våre sikkerhetsrutiner eller sikringstiltak, svarer Andersen.

Frode O. Andersen

Kommunikasjonssjef i Utenriksdepartementet, Frode Overland Andersen.

Foto: Terje Pedersen / NTB scanpix

Forsvaret: Følger nøye med

Forsvaret sier i en e-post til NRK at de ble kjent med dette i 2015, og at de følger nøye med på slike saker.

– Vi har rutiner for å kontakte ansatte som har fått passord lekket. Dette handler i all hovedsak om at det oppgis en e-postadresse ved registrering på ulike tjenester som for eksempel hotellbestillinger. Slike lekkasjer er derfor først og fremst et problem for den enkelte ansatte, sier talsperson for Forsvaret, Roar Wold.

Alle ansatte i Forsvaret må med jevne mellomrom bytte passord og det stilles krav til utformingen av disse passordene, forklarer Wold.

– Det er vanskelig helt å unngå slike lekkasjer som det her vises til, og forebyggende sikkerhet er derfor et av de viktigste vi kan gjøre.

– Skjer daglig

Fagdirektør i Nasjonal sikkerhetsmyndighet (NSM), Roar Thon, er ikke overrasket.

– Vi lever med en daglig risiko for at passord kommer på avveie. Både i store volum eller at den enkelte bruker mister sitt passord til uvedkommende.

Thon understreker at det ikke er krisestemning hos dem.

– Dessverre er det slik den digitale verden fungerer. Derfor er det veldig viktig å slå på totrinns innlogging, og ha unike passord på nettet.

Roar Thon, nasjonal sikkerhetsmyndighet

Roar Thon, fagdirektør i Nasjonal sikkerhetsmyndighet.

Foto: pressefoto

Sjekk om du er rammet

NRK har pratet med en rekke dataeksperter. Samtlige sier at det er mye du kan gjøre for å sikre deg. Les mer om dette her:

NRK har tatt noen stikkprøver av passordene. De fleste passordene som NRK testet var ekte, men listen inneholder også noen falske passord. Lekkasjen inneholder brukernavn og passord både nåværende og tidligere ansatte.

Offentlige organisasjoner – antall passord som finnes i lekkasjen

Nettadresse

Antall

Norges teknisk-naturvitenskaplige universitet

@ntnu.no

835

Forsvaret

@mil.no

552

Utenriksdepartementet

@mfa.no

500

Posten

@posten.no

476

Vegvesenet

@vegvesen.no

452

Norges arktiske universitet

@uit.no

409

Bergen kommune

@bergen.kommune.no

374

Politiet

@politiet.no

364

Trondheim kommune

@trondheim.kommune.no

344

Bane Nor

@banenor.no

311

NAV

@nav.no

303

Universitetet i Stavanger

@uis.no

302

Bærum kommune

@baerum.kommune.no

281

Universitetet i Agder

@uia.no

267

Haukeland universitetssykehus

@helse-bergen.no

264

Avinor

@avinor.no

241

Nordland fylkeskommune

@nfk.no

235

Universitetssykehuset Nord-Norge

@unn.no

231

Hordaland fylkeskommune

@hfk.no

221

Høgskulen på Vestlandet

@hvl.no

218

Østfold fylkeskommune

@ostfoldfk.no

207

Oslo universitetssykehus

@rikshospitalet.no

206

Norges Handelshøyskole

@nhh.no

204

Skatteetaten

@skatteetaten.no

187

Stortinget

@stortinget.no

176

Statnett

@statnett.no

174

Innovasjon Norge

@innovasjonnorge.no

174

Havforskningsinstituttet

@imr.no

166

Stavanger kommune

@stavanger.kommune.no

163

Vestfold fylkeskommune

@vfk.no

157

Folkehelseinstituttet

@fhi.no

152

Statistisk sentralbyrå

@ssb.no

147

Mattilsynet

@mattilsynet.no

146

Forsvarets forskningsinstitutt

@ffi.no

137

Barne-, ungdoms- og familiedirektoratet

@bufetat.no

128

Statsbygg

@statsbygg.no

122

Vest-Agder Fylkeskommune

@vaf.no

119

Rogaland fylkeskommune

rogfk.no

108

Tromsø kommune

@tromso.kommune.no

106

Statens kartverk

@kartverket.no

102

Kristiansand kommune

@kristiansand.kommune.no

99

Møre og Romsdal fylkeskommune

@mrfylke.no

89

Norges geotekniske instistutt

@ngi.no

88

Fredrikstad kommune

@fredrikstad.kommune.no

88

Norsk instutitt for bioøkonomi

@nibio.no

87

Sandnes kommune

@sandnes.kommune.no

87

Norges domstoler

@domstol.no

85

Norsk Tipping

@norsk-tipping.no

84

Statlig spesialpedagogisk tjeneste

@statped.no

83

Larvik kommune

@larvik.kommune.no

81

Buskerud fylkeskommune

@bfk.no

79

Kystverket

@kyrstverket.no

79

Oslo lufthavn

@osl.no

79

Norges vassdrags- og energidirektoratet

@nve.no

77

Forsvarsbygg

@forsvarsbygg.no

73

Telenor

@telenor.no

73

Nasjonalbiblioteket

@nb.no

72

Sogn og Fjordane fylkeskommune

@sfj.no

70

Veterinærinstituttet

@vetinst.no

70

Helsedirektoratet

@helsedir.no

70

Metreologiskt institutt

@met.no

69

Forskningsrådet

@rcn.no

68

Bodø kommune

@bodo.kommune.no

65

Forsvarsdepartementet

@fd.dep.no

61

Riksrevisjonen

@riksrevisjonen.no

61

Direktoratet for samfunnssikkerhet og beredskap

@dsb.no

61

Statens pensjonskasse

@spk.no

60

Politihøgskolen

@phs.no

59

Nasjonal kommunikasjonsmyndighet

@npt.no

57

Toll

@toll.no

56

Arbeidtilsynet

@arbeidstilsynet.no

47

Sametinget

@samediggi.no

23

Mange flere mindre organisasjoner er også rammet, uten at de kommer frem på denne listen.