Sikkerhedsekspert mener, at borgmestre ikke bør bruge deres officielle mailadresse til private sager.
Sikkerhedsekspert mener, at borgmestre ikke bør bruge deres officielle mailadresse til private sager.
Tek Image, Science Photo Library, Ritzau Scanpix

Borgmestres adgangskoder har været afsløret på internettet

31 borgmestre har fået adgangskoder afsløret på nettet. It-sikkerhedsekspert kalder borgmestrenes lemfældige brug af e-mail for en “dårlig digital vane”.

knæk-koden

Af Jeppe Emil Gurlev | [email protected]

For nyligt afslørede DR, at syv ministre sløser med deres it-sikkerhed. Det samme gør flere borgmestre. Med et par klik kan hvem som helst finde frem til flere borgmestres adgangskoder. Borgmestrene har brugt deres kommunale e-mails til at logge på en række sociale medier og online tjenester, der siden er blevet hacket.

En søgning i en offentlig database over kompromitterede e-mailadresser viser, at 31 borgmestre har fået afsløret deres adgangskoder til blandt andet sociale medier. Kommunen.dk har fundet frem til flere af borgmestrenes adgangskoder, der har været afsløret i perioden 2012-2019 og stadig ligger offentligt på internettet.

Kommunen.dk’s gennemgang viser, at borgmestrene har brugt deres kommunale e-mails til blandt andet at logge på LinkedIn, Dropbox, Canva, Bookmate, MyFitnessPal, MyHeritage, Adobe, designforummet houzz.
Den adfærd øger risikoen for angreb på deres mailkonto, mener Jacob Herbst, der er CTO hos it-sikkerhedsvirksomheden Dubex og medlem af Cybersikkerhedsrådet.

- Det er en dårlig vane at bruge sin officielle e-mailadresse til private sager. Det bør man adskille. Jo flere steder, en mailadresse dukker op, jo større er risikoen for, at der kan komme mails med malware, siger han.

Kan trække tråden ud af deres digitale liv

Jacob Herbst forklarer, at lækkene af borgmestrenes adgangskoder formentlig blot vidner om fortidens it-synder da mange af kompromitteringerne er af ældre dato. Sandsynligvis er adgangskoderne skiftet ud og ikke genbrugt på tværs af andre online tjenester.

  Man kan risikere, at hackere kan optrevle hele ens digitale identitet

Men ifølge Jacob Herbst kan et læk potentielt føre til, at hackere eksempelvis overtager en borgmesters LinkedIn-konto og spreder falske budskaber.

- Hvis en hacker får adgang til én konto, så kan hackeren potentielt finde flere oplysninger om personen på siden, der leder videre til nye konti. Man kan risikere, at hackere kan optrevle hele ens digitale identitet, siger han.

Flere af adgangskoderne, som Kommunen.dk har fundet frem til, følger dog ikke de mest basale anbefalinger såsom at være over 12 tegn og bruge både symboler og tal.

- Jeg frygter, at det kan være et udtryk for, at de ikke er gode til at vælge kodeord. Det er udtryk for dårlige it-vaner. Man kan håbe, at de i dag vælger bedre passwords, og at de omgås tingene med større fornuft og bl.a. bruger to-faktor validering på telefonen alle de steder man kan, siger han

  Det er en dårlig vane at bruge sin officielle e-mailadresse til private sager. Det bør man adskille.

De afslørede adgangskoder udgør formentlig måske kun toppen af isbjerget. Flere datalæk være sket uden at være blevet opdaget. Derfor er det vigtigt, at borgmestrene har gode digitale vaner og undgår at genbruge kodeord og sprede deres e-mailadresse ud på internettet, mener Jacob Herbst.

- Man bør skille arbejde og privatliv ad. Det gør det også mere besværligt for fremmede, der kigger med i de lækkede data, at sammenkæde en privat e-mailadresse med en borgmesters identitet, siger han.

Hvordan har vi gjort?

Kommunen.dk har hentet samtlige borgmestres e-mailadresser fra Altinget Publics-liste.


Derefter har vi brugt online-tjenesten haveibeenpwned.com til at søge på de 98 e-mailadresser for at se om borgmestrenes kodeord har været afsløret i forbindelse med et datalæk. 


Her viste det sig, at 31 borgmestre har fået kodeord afsløret i perioden fra 2012 til 2019. Dernæst har vi brugt en offentligt tilgængelig hjemmeside til at finde frem til flere af borgmestrenes lækkede kodeord. 

 

It

Tilmeld dig nyhedsbrevet