När intrånget i Miljödatas system upptäcktes och det blev känt att det företag som hanterar HR-uppgifter åt runt 80 procent av Sveriges kommuner och regioner så var Internetstiftelsen snabba med att gå ut med informationen att vi ännu inte visste om data hade stulits – budskapet var att vi inte skulle bli oroliga förrän det hade bekräftats.
Nu vet vi att drygt en miljon personuppgifter stals och Internetstiftelsen fortsätter att försöka att tona ned allvarligheten i det som inträffat.
I en intervju i SVTs morgonstudion så säger Internetstiftelsens Måns Jonasson:
”Det vi vet än så länge är att det är väldigt mycket personlig data men det är personlig data som i de allra, allra flesta fall ändå så klart är tillgänglig. Mitt namn, min adress och mitt telefonnummer finns ju redan på Internet. Den typen av av uppgifter behöver vi kanske inte vara så oroliga för men när den här stora mängden är så koncentrerad och släpps samtidigt så ökar alltid risken för att andra skurkar kommer att använda den här datan”
Formuleringen är olycklig för det kan ge intrycket att offentliga uppgifter är ofarliga, eller mindre känsliga, om de hanteras av brottslingar. Med tanke på att uppgifterna nu finns sammanställda, insamlade, tillgängliga i vad som snabbt kan förvandlas till en sökbar databas så bör vi i allra högsta grad vara oroliga även för offentliga uppgifter.
Nyckelorden
Nyckelorden i sammanhanget är – uppgifterna är sammanställda.
Måns Jonasson, säger i intervjun, att sammanställningen, mängden uppgifter, i sig är en risk – men det tål att understrykas – även en stor mängd offentliga uppgifter utgör i sig en allvarlig säkerhetsrisk.
Vill jag kartlägga en nyckelperson, en IT-säkerhetsansvarig, en VD, eller en ekonomichef i ett bolag så börjar jag med offentliga uppgifter och ju mer data jag kan komma över och hitta desto större säkerhetsrisk utgör – offentliga, publicerade uppgifter.
För ett antal år sedan så fick jag uppdraget att testa säkerheten och medvetenheten i ett större svensk bolag. Jag började ute på parkeringsplatsen, skrev upp alla registeringsnummer, alla bilmärken. Sedan plockade jag hem bolagets årsredovisningar där nyckelpersoner, styrelse med flera fanns angivna. Jag kollade en rad andra offentliga register, la allt i en databas, kompletterade med att göra sökningar i lokaltidningarnas arkiv och hade till slut en rätt diger mängd information om i stort sett alla nyckelpersoner inom bolaget.
Därefter började jag att sätta samman lösenords-serier som byggde på all den data som jag hade – publik data ska tilläggas.
Jag hittade snabbt flera användbara lösenord som tillsammans med e-postadresser förvandlades till användbara inloggningsuppgifter.
Visste
I det här fallet visste ett mindre antal inom bolaget vad jag höll på med. De flesta visste det inte, så när jag börjar att ringa runt, fiska efter mer uppgifter, utifrån att jag kunde utge mig för att veta en hel del om bolaget, deras datorsystem så möttes jag av mycket hjälpsamma anställda.
På ett par dagar så hade jag mer än ett konto och stegvis tog jag mig allt högre upp i floran av rättigheter.
Allt genom att bara sammanställa offentliga, publika uppgifter och sedan idka lite socialt fiske efter mer information – för det är så det går till, i de flesta fall. Hackarna tar sig inte in via säkerhetsnål, de kommer över kontouppgifter som de använder. De så kallade sociala hacken är inte bara de vanligaste utan också de som kan skada en verksamhet mest.
Vi människor vill hjälpa till, vi är beredda att göra det i kombination med att vi inte alltid är så misstänksamma som vi borde vara.
Kombinera det med en självsäker, människa i andra änden av telefonkommunikationen, som dessutom tycks veta vem du är, vad du jobbar med, vilka system ditt bolag jobbar med så är publika, offentliga uppgifter en högst påtaglig säkerhetsrisk.
Läs mer
Här är säkerhetstipsen som du inte får missa för macOS och din Mac
