Resolution:

SVT & E-post

Många är oroliga och hör av sig till oss efter SVTs "avslöjande" där mer än fyra år gamla uppgifter presenterats på ett otydligt sätt och skapar oro.

Compartment ABs eposttjänster & SVTs felaktiga skrämselpropaganda om Internetsäkerhet.

Tyvärr har statliga SVT kastat sig in i "IT-säkerhetsbranschen" helt utan att förstå sitt uppdrag, vad man gör eller hur man gör det vilket skapat osäkerhet bland vanliga användare och även en del såkallade IT-säkerhetskunniga.

Vi har därför ansett de viktigt att gå ut med förtydliganden till våra kunder vad det gäller våra e-posttjänster och vad man som användare ska förhålla sig till.

 

 Vad har egentligen hänt?

Vad som egentligen hänt är inte att "du blivit hackad" vilket man vill få det att framstå som utan att någon tjänst ute på Internet - som faktiskt drabbats av ett intrång - kan ha användares lösenord som är på vift. Dessa är dock troligen krypterade. Inom kriminella kretsar på Internet kan ibland databaser över dessa lösenord förekomma. Ibland används de som valuta. Ibland används de som utpressning, för förtal eller för att kartlägga personer.

Alltså, om du är en orolig användare som undrar varför SVT påstår att din e-posttjänst blivit hackad så behöver du känna till att det först och främst inte alls rör sig om din e-posttjänst som blivit hackad utan att man på SVT av någon anledning roat sig med att samla olika uppgifter om olika tjänster i världen som kan ha drabbats av intrång och sedan sammanställa dem till en ny, egen databas över epostkonton som kan ha använts som användarnamn i någon av dessa tjänster. Tex Facebook, Linkedin osv.

Din e-posttjänst har alltså ingenting alls med saken att göra utan är bara ett sätt att identifiera dig. Det är i det fiktiva exemplet Facebook som drabbats. Deras säkerhetsexperter är säkert medvetna om det. De har med största säkerhet meddelat dig och du har kanske till och med bytt lösenordet.

Det förekommer tyvärr att man använder e-postadress som användarnamn i vissa fall. Det är alltså en tjänst med din e-postadress som använddarnamn som kan ha drabbats av ett intrång. Det är det lösenordet som användes då och på den tjänsten som kan ha kommit på villovägar. Databasdumpen som SVT kommit över verkar vara äldre än fyra år. Troligen har den tjänsten bytt lösenord eller du kanske inte ens längre använder den tjänsten som SVT talar om.

 

Behöver du oroa dig? Sannolikt inte. Behöver du göra ändringar för din e-posttjänst? Sannolikt inte. Behöver du (i vårt fiktiga exempel där ditt Facebook-konto hackats) byta ditt facebook-lösenord? Om du vill. Kontakta Facebook och fråga eller uppmana SVT att kontakta dem som de fått uppgift om ska ha drabbats och be dem i sin tur meddela dig om det är nödvändigt.

En god rutin, som vi talat om många gånger är att byta sina egna lösenord regelbundet, inte använda enkla lösenord och att inte använda samma lösenord på många olika ställen. Skulle vi få någon information om att någon av våra epostkunders inlogg till själva e-postkontot har drabbats kommer vi naturligtvis att följa våra avtal, rutiner och god sed och kontakta vederbörande och vidta åtgärder. Det finns ingen sådan information i nuläget, och ingenting tyder på annat än sensationalism, kanske missförstånd och en välvilja från journalister som inte förstår hur den här typen av frågor fungerar.

Hur hanteras den här typen av påstådda IT-säkerhetsläckor egentligen?

Det finns ett mycket väl fungerande, demokratiskt och transparant system på Internet idag där företag och organisationer som kan IT-säkerhet, som förstår Internet, dess betydelse och funktion och dess slutanvändare hanterar säkerhetsbrister, intrång och liknande information på ett säkert sätt.

Varför vill phishing-sajter ha din e-postadress?

Att använda epostadress som användarnamn är en olycklig trend och dålig vana som tyvärr används av vissa sajter. När man trots allt gör det (kanske för att väga användarvänglighet mot vilken typ av uppgifter det är, dvs är det okänslig information kanske det kan vara värt det - som tex våra "mina sidor"-funktion på compartment.se som inte har någon som helst känslig information och inte lagrar historiska uppgifter som kan vara skadliga i oräta händer) så kan det få katastrofala följder.

Så kallad nät-phishing, nätfiske, dvs att man "fiskar" efter information och försöker lura användare att dela med sig av det av okunskap eller utan att de är medvetna om det använder ofta detta trick. Skulle tex (gud förbjude) din Internet-bank använda din epostadress som användarnamn är det ju enkelt att försöka bryta sig in på din bank, man vet att det är just ditt konto, det är enkelt att rikta in sig på en viss typ av offer för de kriminella nätverken osv.

Det är dock ofta just möjligheten att samköra olika typer av information - tex från stulna databaser som man kommit över från dataintrång - som ofta kan orsaka mest skada. Om man tex vill hänga ut en politisk motståndare så brukar ofta den här typen av metod använda, kan man hitta spår på Internet och hitta gemensamma nämnare, tex en ett användarnamn (som de attacker som gjordes mot Skypes användare under hösten 2016) eller i det här fallet en epostadress, få ägaren till epostadressen att klicka på en länk och komma till en websida så har man nu helt plötsligt ännu mer information och kraftigt förbättrade möjligheter att samköra dessa uppgifter och ännu mer ringa in och samla information om den personen.

. Att avslöja eller ännu värre riskera att hänga ut eller till och med förtala tredje part är ju totalt onödigt om man råkat komma över illegal information om tex sammanhang där epostadresser används som användarnamn för någon tjänst? Man kan ju istället meddela den tjänst som drabbats eller som sagt göra som brukligt på Internet och kontakta någon av de organisationer som sammanställer och publicerar information om säkerhetshot och brister så att alla som utvecklar tjänster kan ta del av informationen snabbt.

Att hänga ut eller publicera information brett på Internet skadar ju allt och alla och om tex Facebook skulle ha drabbats så vet de ju inte ens om det så de kan inte ens åtgärda ett eventuellt fel. Användaren själv däremot riskerar misstolka informationen och vet ju inte hur man ska hantera den i många fall så felet kanske inte ens åtgärdas. Bara förtroendet för Internet i stort och enskilda företag och organisationer i stort påverkas. Negativt. När det kanske inte ens är något negativt som skett.

 

m vi tänker oss att ditt facebook-lösenord är på vift så har det ingenting med din epostleverantör att göra. Det är på facebooks-servrar lösenordet används. I kombination med din epostadress som användarnamn. Eposttjänsten i sig är dock inte drabbad.

Om du använder samma lösenord på facebook som på din eposttjänst däremot så skulle någon kunna försöka lista ut hur man bryter sig in på din eposttjänst. Använder du då på eposttjänsten även samma användarnamn, din epostadress, för att logga in på epostkontot (vilket ju ur säkerhetsperspektiv är ganska vansinningt men det förekommer faktiskt) så skulle någon teoretiskt sett kunna komma åt din mail.

 

För din egen säkerhet på internet:

  • Använd aldrig din säkerhetskod för inloggningen på din e-posttjänst som kod i andra logg-in.
  • Ha olika koder för dina olika logg in, blanda bokstäver,siffror och tecken, minst 8 postioner totalt.
  • Öppna aldrig epostmeddelandet som kommer från för dig okända avsändare
  • Ladda alrdig ner något fil från ett epostmeddelande som du inte är helt säker på.
  • Kom ihåg att banker och myndigheter alrdrig ber dig fylla i peronslig information om du inte är inloggad med din bank-ID.

 

Är du osäker kontakta oss på compartment.se,

08-91 55 44


Nyheter