- Ikke logg inn på Yahoo!
Denne advarselen ble tirsdag flittig spredt på nettet, og kunne like gjerne omhandlet en rekke norske tjenester, som Norwegian, Ventelo og Chess. Dette er tjenester som var sårbare for «Heartbleed», en svakhet i måten et enormt antall nettjenester sikrer seg på nett. Disse tjenestene kan ha lekket ut passord, brukernavn og det meste annet fra besøkende i opptil to år.
- Sårbarheten er ekstremt enkelt å utnytte, sier Vidar Sandland, seniorrådgiver i Norsis.
Feilen rammet i går rundt 10.000 norske servere, viser statistikk laget av sikkerhetsekspert Einar Otto Stangvik.
Les artikkelen DN skrev om Heartbleed i går: «Hjerteblødning» rammer internett
Faren ikke over
Yahoo rettet feilen i løpet av tirsdag, og halv tolv onsdag hadde halvparten av de norske tjenestene tettet hullet, forteller Stangvik til DN. Men ingen vet hva hackere kan ha hentet ut allerede.
- Det kan vi ikke vite, bekrefter Kristain Vange, it-sjef i Chess.
Via Chess.no kan man logge seg inn og få oversikt over hvem kunden har ringt. Chess vurderer nå om de skal varsle alle kundene, og få dem til å lage nye passord.
Det bør de, ifølge Nasjonal Sikkerhetsmyndighet.
- Vi anbefaler at tjenesteleverandører som har sårbarheten, og som har kunder med innloggingstjenester på den ene eller andre måten, oppdaterer, varsler brukerne, og anbefaler bytte av passord, sier Kjetil Berg Veire, informasjonssjef i NSM.
Dette rådet gjelder trolig store deler av Norges befolkning, for det er mange store selskaper på listen over de sårbare.
- Nesten alle nordmenn som bruker internett er trolig berørt på minst én tjeneste, sier Per Thorsheim i God Praksis.
Han forteller at tjenester som har satt opp registrering av angrep nå viser at hackere er i full gang.
Alle må bytte
Faktura-tjenesten Conta Systemer ble også rammet av svakheten. Via innlogging fra deres nettsider kan 46.000 bedriftskunder utstede fakturaer, og de har også adgang til å endre hvilken konto pengene havner på, bekrefter daglig leder Jonny Lium.
- Vi jobber med å se hvordan dette hullet eventuelt kan ha gjort det mulig å hente ut brukernes passord fra serverens minne, sier han til DN.
Han tar problemet svært alvorlig.
- Vi vurderer om vil skal varsle alle brukere om at de må endre passord, eller tvinge alle til å lage nytt passord ved neste innlogging, sier han.
Han understreker at de ikke har noen sett tegn på misbruk, men at de tar dette alvorlig og følger sikkerhetsanbefalingene.
Oppdatert
Spionbutikken Spyshop var også rammet av feilen, og ser alvorlig på muligheten for at noen kan ha spionert på deres kunder. De oppdaterte sikkerheten så fort de klarte. Det gjorde også Norwegian.
- Vi fikk oppgradert programvaren umiddelbart etter at den ble tilgjengelig fra leverandøren, slik at sikkerhetshullet nå er tettet, sier Astrid Mannion, kommunikasjonsrådgiver i Norwegian.
Norwegian har ikke besluttet om de vil kreve at kundene endrer passord. Tester viser at også Ventelo har reparert en sårbarhet, men leder og tekniske direktør har i dag ikke besvart DNs henvendelser.
Slik sikrer du deg
Lium påpeker at selv nettsider som ikke har svakheten kan oppleve økt hacking. Svært mange bruker nemlig samme passord til å logge seg inn på flere tjenester. Dette vet hackerne, og det er mange eksempler på at passord fra ett angrep brukes mot ellers sikre nettsider.
Dette finnes det imidlertid et våpen mot, mener Sandland i Norsis.
- Vi mener alle kan huske uendelig mange passord, sier han.
Trikset er å velge en regle for alle passord, og legge inn ett element fra siden det gjelder, mener han.
- Du kan for eksempel ta ”Lisa gikk til skolen Facebook” for Facebook, sier han.
For å gjøre det sikkert er det viktig at ikke alle velger samme regle, og helst bør man finne en egen logikk, for eksempel å velge andre bokstav i nettstednavnet, og kanskje plassere den på et fast sted i reglen. Poenget er å skape unike passord for hver nettside, der en fast logikk er lett å huske for brukeren, men vanskelig å gjette for en hacker.
Det aller beste er imidlertid å skru på såkalt totrinns-bekreftelse, som betyr at passord alene ikke er nok. På nettbanker må man gjerne ha en kodebrikke i tillegg, eller få en sms på mobilen, mens stadig flere nettjenester kan sende deg en sms med engangskode hver gang du bruker en ny enhet. Dermed får hackere lite nytte av passordet, så lenge de ikke også har brukerens mobil.
- Dette bør legges inn på flest mulig tjenester. Da er det ikke så farlig om passordet kommer på avveie, sier Sandland.
Mange tjenester mangler fortsatt denne muligheten, og relativt få brukere har valgt å benytte seg av denne sikringen. Men Heartbleed-feilen viser hvor viktig det er, sier Sandland.
- Jeg tror ikke folk vet hvor lett det er å bruke det, og det ville beskyttet mot dette, sier han.
Les mer om Heartbleed: «Hjerteblødning» rammer internett(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.