Artikel top billede

Her kan du se om dine personlige data bliver handlet på nettet

I forbindelse med datalæk på datingssites og andre online-steder bliver der efterfølgende handlet med folks data. En it-sikkerhedsekspert har forsøgt at skabe gennemsigtighed med, om dine data som mailadresser, seksuelle orientering og lokation indgår i denne data-handel.

I takt med at store data-lækager på datingsites som Ashley Madison popper op som korkpropper i online-farvandet, er der også dukket sites op, hvor du kan se, om dine data ligger og flyder på nettet. 

Det kan du eksempelvis se på hjemmesiden haveibeenpwned.com, hvis URL-navn er internet-slang for, om man er 'ejet' - altså, om ens data er blevet lækket og efterfølgende handlet med.

Du kan læse mere her, hvad ens personlige detaljer som mailadresse og navn kan bruges til i de helt forkerte hænder.

Det kan du læse mere om her: Omstridt søgemaskine finder 87 millioner ubeskyttede ID-numre

Manden bag 'Have I been Pwned?'-sitet er it-sikkerhedsekpert og Microsoft-Most-Valuable-Professional, Troy Hunt, som begyndte at formulere tankerne til hjemmesiden efter et stort hack mod it-giganten Adobe i 2013.

Adobe-sikkerhedsbristen efterlod millionvis af brugere uvidende om, hvorvidt deres informationer er blev spredt på nettet.

Det kan du læse mere om her: Sådan får Adobe 38 millioner rasende brugere under kontrol

"Alle typer folk bruger mit site. Der er helt sikkert mange teknikere på besøg, men især efter sager som Ashley Madison-lækket, har jeg også haft besøg af mange ikke-teknikere. Efter den slags sager kan der være millioner af folk, der besøger mit site," forklarer Troy Hunt til Computerworld.

Sådan virker sitet

It-sikkerhedseksperten fortæller, at formålet med hjemmesiden haveibeenpwned.com er at advare om sikkerhedsbrister på hjemmesider og derefter oplyse folk om, hvis data om dem er blevet spredt.

For hvis en hjemmeside som eksempelvis Ashley Madisons datingsites med mange medlemmer er blevet hacket, og informationerne er blevet stjålet, er det ikke altid lige nemt at finde ud af, om man selv er blevet ramt.

"Folk kan på min side se, om deres mailadresse er med i et datalæk, og så de dataklasser, som er til stede i lækket. For eksempel kan de se, at Beautiful People har eksponeret medlemmernes lokation og seksualitet," siger Troy Hunt.

Her henviser han til et nyfundet læk hos den danske datingservice Beautifulpeople.com, som flere medier som eksempelvis Forbes rapporterer om, har fået hugget data om over en million profiler, som siden er blevet spredt på nettet.

"Normalt vil folk komme ind på min hjemmeside og søge efter deres mail-adresse. Nogen gange bliver der søgt efter flere mail-adresser, mens de sommetider også abonnerer på gratis opdateringer om, hvorvidt deres mail-adresse ligger ude på nettet," lyder det fra Troy Hunt.

I skrivende stund er der advarsler og antallet af data fra Adobe-lækket, mens du også kan finde lækkede data fra porno-, spil- og sågar FN-sites inde på sikkerhedsekspertens hjemmeside.

"Jeg har selv fundet ud af, at min egen mailadresse er med i fire datalæk, så jeg er ekstremt bevidst om de personlige informationer, som bliver spredt på nettet," forklarer Troy Hunt og viser med dette link, at hans søgemaskine har fundet lækkede informationer om ham selv på nettet. 

Du kan ikke bare søge løs

Troy Hunt erkender, at hvis man kan søge efter ens egen muligvis lækkede mailadresse på sitet, så kan andre også søge efter denne adresse.

Derfor har han indført en slags blacklist-funktion, hvor en person kan fjerne sin mailadresse fra sitets søgemaskine.

"Jeg prøver også at finde den rigtige balance mellem brugervenlighed og privatlivets fred. [..] Jeg gør først opmærksom på 'følsomme' brud på sites som Adult Friend Finder og Youporn," forklarer sikkerhedseksperten og fortsætter:

"Mail-adresserne fra den slags steder ikke er søgbare for offentligheden, da du kun kan lede efter adresser, hvis du selv ejer dem - det vil sige, at du skal demonstrere, at du kan modtage en mail på adressen."

Her tilføjer han, at de såkaldte følsomme sites som dating- og pornhjemmesider i sig selv har en slags indbygget søgefunktion ved, at man kan gå til 'glemt password'-området og indtaste en mailadresse for at se, om den er tilknyttet til sitet.

"Jeg håber, at folk på mit site kan lære noget om, hvor bred deres eksponering er," fortæller Troy Hunt til Computerworld.

Et globalt problem

At det er en privatperson som ham selv med sans for sikkerhed, der står bag et site som haveibeenpwned.com og ikke en regeringsmagt eller offentlige myndigheder, finder Troy Hunt ikke besynderligt.

"Databrud er i deres natur globale, mens regeringsmagter er mere lokalt baserede. Jeg har desuden også adgang til en masse data, som jeg mistænker regeringer for ikke at have, på grund af de forbindelser, jeg i tidernes løb har opbygget," siger han.

Data om personlige læk til søgeresultaterne får han fra en lang række kilder, som han ikke ønsker at oplyse nærmere om. 

"I nogle tilfælde som ved Ashley Madison-lækket er det meget nemt at finde i offentligt tilgængelige kilder. Andre gange som ved Lifeboat-lækket (Et Minecraft-community for nyligt beskyldt for at lække syv millioner konto-oplysninger, red) bliver data holdt tæt inden for data-handelscirklerne. Og det er her fra, at jeg somme tider får oplysninger," forklarer Troy Hunt. 

Udover denne noget hemmelige informationsudvekslinger bedyrer sikkerhedseksperten, at han forsøger at være så gennemsigtig som muligt omkring sin datasøgningsmaskine ved at fortælle så meget og åbent om den som muligt på sitet. 

"Folk må træffe deres egne beslutninger, om de har tillid til min service. Hvis de ikke stoler på mig eller mit site, så er det jo meget simpelt, at de ikke skal bruge det," runder han af. 

Læs også: 
Sikkerheds-ekspert: Derfor duer statisk sikkerhed bare ikke - her er tre fif til at få bedre it-sikkerhed i virksomheden

Ransomware, sikkerhed i biler og DDoS-angreb: Her er de værste sikkerhedsplager lige nu