Bruce1, ananas og Carlo2004. Det er bare et udpluk af kodeord på dark web, som har være brugt af folketingsmedlemmer i forbindelse med deres officielle folketingsmail.
Ingeniøren har i samarbejde med cybersikkerhedsfirmaet Dubex søgt på dark web efter lækkede e-mails, der slutter med "ft.dk". I vores søgninger har vi fundet 32 forskellige nuværende folketingsmedlemmers email-adresse og passwords i både klartekst og krypteret form. Også adskillige nuværende og tidligere ministre har fået lækket kodeord, som Ingeniøren har set.
I en ny undersøgelse lavet af Proton og sikkerhedsvirksomheden Constella Intelligence fremgår det, at 74 folketingsmail er del af læk, mens 93 password er offentliggjort i forskellige læk.
At e-mailadresser, som kan findes på Folketingets hjemmeside bliver lækket på det mørke internet er i sig selv ikke bemærkelsesværdigt. Men det viser, at folketingsmedlemmerne bruger deres folketingsmails, der ellers ikke bør bruges til logge ind på private tjenester, som risikerer at blive hacket. Samtidig er der eksempler på, at der fremgår private oplysninger som adresse, fødselsdato, sociale medier samt passwords.
Koden er skiftet for længst
En af dem som har fået sin mail lækket er Martin Lidegaard, leder for Radikale Venstre.
»Det hører til undtagelserne, at jeg bruger FT-mailen til private formål, da jeg godt er klar over at det er sårbart, men nogen gange kan du ikke købe ting uden at du oplyser din adresse og der kan jeg ikke afvise, at jeg også har brugt min arbejdsmail,« siger den radikale partileder Martin Lidegaard, hvis oplysninger optræder i to forskellige datalæk.
Ingeniøren har spurgt Folketingets it-chef Johanne Albjerg, hvad hun mener om at politikerne bruger deres arbejdsmail til at oprette profiler på sociale medier eller købe kommercielle produkter, men hun oplyser per sms, at hun er på seminar og derfor ikke svarer på spørgsmål.
Et andet folketingsmedlem, hvis kodeord samt folketingsmail er blevet lækket er Karsten Hønge, SF's beskæftigelsesordfører. Han slår dog fast, at kodeordet er skiftet ud for længst.
»Det er da rigtig træls, at nogen forsøger at få fingrene i mine mails. Men det er nu ikke mit password. Det har sikkert været det engang for længe siden, men vi opdaterer jo jævnligt vores kode,« skriver Karsten Hønge.
Netop at udskifte kodeord ofte er særligt vigtigt for politisk udsatte personer, fortæller Jens Myrup Pedersen, der er professor i cybersikkerhed ved Aalborg Universitet.
»Et password er første skridt på vejen til at hacke dem, og som politikere skal man være ekstra varsom, for de er også mål for fremmede stater, så det er vigtigt at de skifter password ofte,« siger Jens Myrup Pedersen.
Kryptering kan brydes
Selvom mange af de lækkede passwords fremgår i krypteret form, vil det sandsynligvis være muligt for hackere at bryde krypteringen. Den løsning kan købes på hjemmesider for nogle få dollars. Det fortæller etisk hacker Keld Norman fra cybersikkerhedsfirmaet Dubex.
»Som hacker vil du forsøge at bruge deres password til at logge ind med, så du kan læse deres mails og bruge det til phishing eller afpresse dem,« siger han.
Derudover vil de blotlagte passwords også kunne bruges som inspiration til at knække deres nyere passwords, eller som led i social manipulation for at få dem til at udlevere oplysninger til 2-faktor godkendelse.
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb.
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.
