[Oprindeligt publiceret af Center for Cybersikkerhed]
Center for Cybersikkerhed (CFCS) har via en samarbejdspartner fået et tip om, at et antal danske e-mailadresser og et tilhørende password er blevet fundet blandt et større læk af mulige brugeradgangsoplysninger på et onlineforum med relation til it-kriminalitet.
Hvad er det for oplysninger, CFCS har tilsendt mig?
Du har modtaget en e-mailadresse og et brudstykke af et password, som menes at stamme fra et læk af brugeradgangsoplysninger til e-mailtjenester. CFCS kan hverken af- eller bekræfte, at disse oplysninger er korrekte, så du skal selv som modtager undersøge, om den tilsendte e-mail og passworduddrag er relevant for dig.
Hvor har vi data fra?
CFCS har modtaget en liste med potentielt lækkede brugeradgangsoplysninger fra en partner, som har fundet dem i forbindelse med en it-sikkerhedsundersøgelse. Hverken partneren eller CFCS har forsøgt at anvende oplysningerne og har ikke i sinde at gøre det.
Hvad skal jeg gøre?
- Hvis du genkender passwordet, som er sat i forbindelse med din e-mailadresse, bør du skifte det på de e-mailservices, onlinetjenester, streamingservices m.fl., hvor du har anvendt det.
- Hvis du har mulighed for det, bør du aktivere en form for 2-faktorautentificering (2FA) på de ovenstående services.
Hvorfor sender I sådanne mails til private borgere?
Vores overordnede formål i Center for Cybersikkerhed er at bidrage til at gøre Danmark mere digital sikkert. Derfor vil henvender vi os til de brugere, der muligvis har fået deres brugeradgangsoplysninger lækket.
Vi ønsker ikke at gemme på viden, som muligvis kan forhindre udnyttelse fra kriminelle eller andre, der uretmæssigt kan få adgang til oplysninger, der ikke var tiltænkt dem.
Jeg har skiftet password for længe siden. Er jeg stadig kompromitteret?
Hvis du har skiftet dit kodeord efter tidspunktet angivet i din mail, så bør du have imødegået risikoen for et fremtidigt misbrug af dine konti via de brugeradgangsoplysninger, som indgår i dette læk. Dog anbefaler vi som nævnt, at du skifter password på alle de services, hvor du har brugt det lækkede password, og om muligt aktiverer 2FA.
Hvad er 2FA og hvordan gør jeg?
2-faktorautentifikation (2FA) introducerer en ekstra faktor i login-processen på en tjeneste, som højner sandsynligheden for, at det er den reelle ejer af kontoen, som forsøger at logge på. Dette foregår eksempelvis ved, at loginsystemet sender en tilfældig engangskode til brugerens mobiltelefon, som skal indtastes ud over den normale adgangskode, før brugeren kan få adgang til systemet. I dette tilfælde vil en it-kriminel altså ikke kunne opnå adgang til din konto, med mindre vedkommende også har adgang til din mobiltelefon.
Ønsker du råd til, hvordan du laver et sikkert password, kan du læse Center for Cybersikkerheds passwordvejledning, ligesom du blandt andet kan finde vejledning til at slå 2-faktorautentifikation til på Sikkerdigital.dk.