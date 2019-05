Ti folketingsmedlemmer. Over to hundrede ansatte i Folketinget. Og snesevis af medarbejdere hos de danske partier. Det er bare nogle af de navne, der er dukket op i åbne databaser over hackede kodeord.

I alt optræder over 300 mailadresser fra Folketinget og partierne på lister over kodeord, der er frit tilgængelige på nettet.

Det viser en undersøgelse, som Berlingske i dag kan løfte sløret for.

Det betyder, at hackere i fred og ro kan scrolle gennem lange lister over nuværende eller tidligere kodeord, som politikere, embedsmænd og partisoldater har brugt på nettet.

Listen omfatter centrale dele af det politiske Danmark. Blandt dem er medlemmer af Forsvarsudvalget og Udenrigspolitisk Nævn samt medarbejdere i Folketingets partier fra Venstre til SF.

Det kommer frem, efter Berlingske i går kunne fortælle, at en række partiers hjemmesider også har lidt af en række sikkerhedshuller.

FAKTA Sådan sikrer du dig mod hackere Brug en password-manager til at holde styr på dine kodeord.

Brug aldrig samme kodeord til flere forskellige tjenester.

Bandlys kodeord, som du har brugt i flere år.

Brug to-faktor-godkendelse, så du får en sms med en ekstra kode, når du logger ind.

Hold dig langt væk fra let gennemskuelige kodeord som navne på børn, kæledyr eller fødeby. FOLD UD

Omfanget er bekymrende, siger eksperter i cybersikkerhed.

»Det gør disse personer sårbare over for metoder, der tidligere er blevet brugt at statssponsorerede grupper,« siger Peter Kruse, der er ekspert i it-sikkerhed.

I værste fald kan hackere misbruge kodeord til at kapre politikeres sociale medier, tappe fortrolige dokumenter eller infiltrere partier ved hjælp af falske e-mail, der ligner beskeder fra kolleger, siger Keld Norman, der står bag undersøgelsen.

Lækket er således kun blevet muligt, fordi godt 280 medarbejdere og folkevalgte tilsyneladende har brugt deres officielle ft.dk-mailadresse til at logge på eksterne tjenester som netbutikker til sociale medier. Medarbejdere hos flere partier har brugt parti-mailen til at logge på datingsitet Fling.

»Det er der sådan set ikke nogen undskyldning for. Du skal ikke bruge din arbejdsmail til noget, der kan gøre dig sårbar over for læk eller endda afpresning,« siger Keld Norman.

Udnytter simple kodeord

Netop det har politikere i Tyskland lært på den hårde måde. I december sidste år lækkede en hacker private oplysninger om fremtrædende medlemmer af Forbundsdagen. Det betød, at intime billeder, personlige beskeder og scannede id-kort flød ud på nettet.

Den 20-årige hacker havde udnyttet, at mange af ofrene angiveligt brugte simple passwords som »iloveyou« og »1234«.

Også det danske forsvar er blevet ramt. I 2015 og 2016 blev et ikke-klassificeret mailsystem under forsvaret udsat for et datatyveri, der ifølge forsvarsministeren kunne spores til Rusland. Ved en fejl var en række sårbare kodeord ikke skiftet i tide, konkluderede en rapport fra Center for Cybersikkerhed dengang.

Også i de seneste læk optræder kodeord, der let kan knækkes med automatiske værktøjer, siger Keld Norman, der er it-sikkerhedskonsulent i virksomheden Dubex. Det er gælder meget udbredte kombinationer og brug af navne, fødselsår og bynavne i stil med »Password3« eller »slagelse89«.

»Det er desværre ikke usædvanligt. Det ser vi overalt. Vi ser, at selv garvede it-folk falder igennem på det her,« siger han.

»Det undrer mig, at jeg er endt der. Men jeg er opmærksom på, at der er nogen, der ikke vil mig det godt,« siger den konservative forsvarsordfører, Naser Khader.

De lækkede lister stammer typisk fra tidligere hackerangreb på netbutikker, sociale medier eller onlinespil. De siden gjort offentligt tilgængelige på åbne fora, der benyttes af hackere.

Kodeordene giver således ikke adgang til Folketingets mail-system, der er beskyttet på anden vis. Men de mange kodeord kan - selv hvis de er af ældre dato - bane vej ind på Gmail- eller Hotmail-konti, sociale medier eller andre sider, hvis folk bruger samme password flere steder. Samtidig kan hackere finde mønstre i kodeordene og teste dem på snesevis af sites i en ruf med automatiserede værktøjer.

»Hvis vi taler om medlemmer af Forsvarsudvalget, så vil der være stater, som har masser af ressourcer at kaste i denne type af kortlægning,« siger Peter Kruse.

Interessant for efterretningstjenester

To af de politikere, hvis mailadresse optræder i lækket, er formanden for Forsvarsudvalget, Naser Khader (K) og Venstres udenrigsordfører, Michael Aastrup Jensen.

»Det undrer mig, at jeg er endt der. Men jeg er opmærksom på, at der er nogen, der ikke vil mig det godt,« siger den konservative forsvarsordfører.

Naser Khader har taget en række forholdsregler, der begrænser muligheden for misbrug af tidligere kodeord, siger han. Det er blandt andet sket efter flere forsøg på at oprette falske Facebook-profiler i hans navn.

»Jeg er fuldt ud klar over, at trusselsniveauet er højt,« siger han.

En mailadresse tilhørende Venstres udenrigsordfører Michael Aastrup Jensen er blandt dem, der ligger i de åbne baser. Han har dog taget sine forholdsregler.

Også Michael Aastrup Jensen, der sidder i Udenrigspolitisk Nævn, er opmærksom på risikoen og har taget en række forholdsregler.

»Jeg ved godt, at jeg er interessant for udenlandske efterretningstjenester på grund af mine udmeldinger om Rusland og den slags,« siger Michael Aastrup Jensen (V).

Han vurderer, at sikkerhedsniveauet generelt er højt. Han bruger selv såkaldt to-faktor-godkendelse, så et kodeord ikke er nok til at logge på eksempelvis Facebook.

Lille del af større problem

Folketingets it-chef, Johanne Albjerg, vil af sikkerhedsgrunde ikke kommentere den konkrete undersøgelse. Men ifølge hende overvåger Folketinget allerede de åbne lister over hackede kodeord. Der er dog ingen regler imod at bruge ft.dk-adressen som login andre steder, siger hun.

»Alle vores brugere er instrueret i sikker anvendelse af passwords i overensstemmelse med Folketingets it-sikkerhedspolitik. Folketinget gennemfører desuden løbende awareness-træning med obligatoriske undervisningsprogrammer og overvåger baser over lækkede password,« siger Johanne Albjerg i en skriftlig kommentar.

De åbne baser er dog kun en lille del af et større problem. De nyeste og mest værdifulde hackede kodeord sælges nemlig for højestbydende i lukkede hackerfora.

»Det er umuligt at sige, hvor mange der er ligger i den gruppe. Men der er en meget stor klump og den den omfatter de mest værdifulde oplysninger,« siger Peter Kruse.

Folketingets partier indgik i april en aftale for at undgå misbrug af oplysninger, der måtte fremkomme som følge af cyberangreb. De gav derfor hinanden håndslag på, at de vil undlade at bruge eller videreformidle stjålne eller hackede oplysninger i valgkampen.

Simon Kruse er Berlingske teknologikorrespondent. Datajournalist Philip Sune Dam har bidraget til artiklen.