Adobe, LinkedIn, Yahoo, Facebook, Twitch, Equifax, Marriott — det er blot de databrud, der kom i overskrifterne. Der findes tusindvis flere, som aldrig gjorde. Virksomheder, som vi betroede vores e-mailadresser, vores adgangskoder, nogle gange vores kreditkortnumre og hjemmeadresser, har fået deres databaser stjålet og solgt. Og i næsten alle tilfælde er e-mailadressen det mest værdifulde stykke data i byttet, fordi den er hovednøglen til alt andet i dit digitale liv.
De fleste menneskers reaktion, når de hører om et databrud, er at skifte deres adgangskode på den ene tjeneste og komme videre. Den reaktion giver mening, men den overser det store billede. Skaden fra et databrud stopper ikke ved den tjeneste, der blev hacket. Den breder sig udad på måder, der fortsætter i månedsvis, nogle gange årevis. At forstå hele kæden ændrer den måde, du tænker på at dele din e-mail i første omgang.
Denne artikel gennemgår den kæde i detaljer — hvad der sker umiddelbart efter et databrud, hvad der sker uger og måneder senere, hvorfor din e-mailadresse er så værdifuld for angribere, og hvad du i praksis kan gøre ved det. Målet er ikke at skræmme dig. Det er at give dig et klart billede, så du kan træffe klogere beslutninger om, hvor din rigtige e-mailadresse faktisk behøver at eksistere.
Problemets omfang
Før vi går ind i mekanikken, hjælper det at forstå, hvor stort dette problem faktisk er. Have I Been Pwned, den gratis databrud-tjeneste bygget af sikkerhedsforskeren Troy Hunt, sporer i øjeblikket over 13 milliarder kompromitterede konti på tværs af tusindvis af individuelle databrud. Det tal er ikke 13 millioner. Det er 13 milliarder. Den globale voksne befolkning er omkring 6,5 milliarder mennesker. Mange af disse 13 milliarder poster er dubletter — den samme e-mail, der optræder i flere databrud — men omfanget er stadig svimlende.
Ifølge Statistas data om spam-e-mailtrafik er cirka 45-50 % af al e-mail, der sendes globalt, spam. En betydelig del af den spam drives af stjålne e-maillister høstet fra databrud. Dette er ikke et nicheproblem, der kun rammer uheldige enkeltpersoner — hvis du har haft en e-mailadresse i mere end et par år og brugt den til at registrere dig på onlinetjenester, er der en betydelig chance for, at den er dukket op i mindst ét databrud.
Jeg vil opfordre dig til at holde en pause lige nu og tjekke din egen adresse på Have I Been Pwned, før du læser videre. Resultaterne har det med at få resten af denne artikel til at føles meget mere konkret. De fleste finder deres e-mail nævnt i mellem to og otte databrud. Nogle finder flere. Hvis din kommer tilbage ren, godt — men det er stadig værd at forstå, hvad du beskytter dig imod.
Hvad angribere gør med din e-mail — hele kæden
Her er, hvad de fleste databrud-omtaler overser: skaden fra et enkelt databrud sker ikke på én gang, og den stopper ikke ved én type angreb. Der er en række af begivenheder, hver muliggjort af den forrige, og at forstå den rækkefølge er det, der får problemet til at føles virkeligt frem for abstrakt.
Trin 1: Databrud-databasen bliver solgt
Inden for timer eller dage efter et stort databrud dukker de stjålne data op på dark web-markeder. Databaser købes og sælges i store mængder — nogle gange for overraskende små pengebeløb. En fil, der indeholder millioner af e-mailadresser og hashede adgangskoder, kan sælges for et par hundrede dollars. Fra angriberens perspektiv er dette blot anskaffelse af råmateriale at arbejde med.
Trin 2: Spamkampagner begynder øjeblikkeligt
Den mest umiddelbare og synlige effekt af et databrud er en pludselig stigning i spam. Din e-mailadresse føjes til masseudsendelseslister, og Federal Trade Commission vurderer, at der sendes milliarder af spam-e-mails hver dag, hvor stjålne e-maillister er en af de primære kilder. Du bemærker måske en ny bølge af spam, der begynder dage eller uger efter, at en tjeneste, du bruger, annoncerer et databrud. Det er ikke et tilfælde — din adresse landede lige på en ny liste.
Trin 3: Credential stuffing-angreb
Hvis databruddet omfattede adgangskoder — selv hashede — eskalerer truslen betydeligt. Automatiserede værktøjer kaldet credential stuffers tager kombinationerne af e-mail + adgangskode fra et databrud og prøver dem systematisk mod dusinvis eller hundredvis af andre tjenester. Dit Netflix-login. Din Amazon-konto. Din bank. Din e-mailudbyder selv. Troy Hunt har dokumenteret indgående, hvordan credential stuffing-angreb er ansvarlige for en massiv andel af kontoovertagelser. Genbrug af adgangskoder er det, der gør dette angreb så effektivt — folk, der bruger den samme adgangskode på tværs af flere tjenester, er særligt sårbare. Det er derfor, at det ikke er nok blot at ændre den ene berørte adgangskode.
Trin 4: Målrettet phishing, der ved ting om dig
Generiske phishing-e-mails — "Klik her for at verificere din konto" — er lette at gennemskue. Men en mere sofistikeret angriber bruger databrud-data til at udforme målrettede beskeder, der refererer til ting, de faktisk ved om dig. De ved, hvilken tjeneste du var kunde hos. Nogle gange kender de dit brugernavn, dit navn eller de sidste fire cifre af dit betalingskort. En phishing-e-mail, der siger "Din [rigtige tjenestenavn]-konto kræver bekræftelse — her er dit brugernavn [dit faktiske brugernavn]", er dramatisk mere overbevisende end en generisk masseudsendelse. Denne kategori af angreb kaldes nogle gange spear phishing, og databrud-data er netop det, der gør det muligt.
Trin 5: Profilopbygning på tværs af flere databrud
Den mest sofistikerede brug af databrud-data er korrelation. Angribere samler poster fra flere databrud for at opbygge detaljerede profiler af enkeltpersoner. Din e-mail dukkede op i et databrud hos et spilforum, et databrud hos en fitness-app og et databrud hos en onlinebutik? Nu ved nogen, at du spiller spil, hvor ofte du træner, hvor du handler, og potentielt din omtrentlige placering ud fra forsendelsesdata. Electronic Frontier Foundation har skrevet indgående om, hvordan dataaggregering forvandler individuelt harmløse stykker information til noget langt mere invaderende. Denne profilering fører til mere målrettet phishing, social engineering og i ekstreme tilfælde identitetstyveri.
Sådan tjekker du din nuværende eksponering
Det bedste udgangspunkt er Have I Been Pwned. Indtast din e-mailadresse, og den søger i sin database over kendte databrud. For hvert databrud, der er nævnt, ser du navnet på den berørte tjeneste, datoen for databruddet, og hvilke kategorier af data der blev eksponeret (e-mail, adgangskode, brugernavn, navn, telefonnummer osv.). Dette fortæller dig præcis, hvor dine data er blevet kompromitteret, og hvilke specifikke risici der gælder.
Afgørende er det, at Have I Been Pwned tilbyder gratis notifikationer om databrud. Du indtaster din e-mailadresse, bekræfter den, og fra det punkt af vil du modtage en e-mailnotifikation øjeblikkeligt, hvis din e-mail dukker op i et fremtidigt databrud, der føjes til databasen. Dette er et af de mest værdifulde gratis sikkerhedsværktøjer, der findes — det forvandler dig fra en, der finder ud af databrud-eksponering måneder senere (hvis nogensinde), til en, der finder ud af det inden for dage og kan handle hurtigt.
Når du gennemgår dine resultater, skal du være særligt opmærksom på databrud, der omfattede adgangskoder. Det er dine højeste risici på grund af de credential stuffing-angreb, der er beskrevet ovenfor. For netop de databrud skal du sikre dig, at du har ændret den adgangskode på alle tjenester, hvor du brugte den samme — og derefter holde op med at genbruge adgangskoder ved at bruge en adgangskodeadministrator fremover.
Hvorfor din e-mail er de mest værdifulde data i et databrud
Her er noget, det er værd at dvæle ved: et stjålet kreditkort kan spærres inden for minutter. En lækket adgangskode kan ændres. Men din e-mailadresse? Den er semipermanent. Du har haft den i årevis, muligvis årtier. Dusinvis eller hundredvis af tjenester er registreret med den. Den er nøglen til dine kodeordsnulstillinger, dine bankmeddelelser, dine tofaktor-koder. Den er knyttet til din identitet på en måde, der er meget svær at trevle op.
GDPR giver EU-borgere juridiske rettigheder til at anmode om sletning af deres personoplysninger, herunder deres e-mailadresse, fra enhver tjeneste, der har den. I praksis har mange virksomheder nu automatiserede systemer til dette, og du kan indsende en sletningsanmodning selv for tjenester, du ikke har brugt i årevis. Men GDPR-sletningsanmodninger påvirker kun den virksomhed, der modtog anmodningen — de rører ikke data, der allerede er solgt eller kopieret ind i tredjeparts databrud-databaser. Når din e-mail først er ude i det fri, bringer ingen lovgivning den tilbage. Forebyggelse er den eneste fuldt pålidelige strategi.
OWASP's sikkerhedsvejledning understreger konsekvent, at e-mailadresser er højværdidata, der fortjener samme beskyttelse som adgangskoder. Alligevel deler de fleste deres e-mailadresse med langt mindre omhu, end de deler deres adgangskoder, fordi e-mailadresser føles mindre følsomme. Virkeligheden er det modsatte — din e-mail er mere vedvarende, mere central og sværere at ændre end din adgangskode.
Problemet med angrebsfladen
Hver tjeneste, der har din rigtige e-mailadresse, er et potentielt databrud-punkt. Jo flere steder din e-mail findes i databaser rundt om på internettet, jo flere muligheder er der for, at den bliver stjålet. Tænk på regnestykket: hvis du har tilmeldt dig 50 onlinetjenester gennem årene, og hver har en årlig sandsynlighed på 2 % for at opleve et databrud (et konservativt skøn baseret på det nuværende landskab), er sandsynligheden for, at mindst én af dem bliver ramt af et databrud i et givet år, meget høj. Jo flere tjenester, jo højere eksponering.
En tjeneste, du tilmeldte dig for tre år siden for at downloade en gratis skabelon, brugte én gang og helt glemte — det er stadig en aktiv databasepost et sted. Den virksomhed kan være blevet opkøbt, kan have haft en sikkerhedshændelse, kan have solgt sin e-mailliste for at dække omkostninger. Du har ingen indsigt i, hvad der er sket med dine data, siden du indtastede dem.
Det er her, at brug af en midlertidig e-mail til uvæsentlige tilmeldinger fundamentalt ændrer ligningen. Hvis databasen bag det skabelon-downloadwebsted bliver ramt af et databrud to år senere, er din rigtige e-mailadresse ikke i den. Den midlertidige adresse, der blev brugt, eksisterer ikke længere. Der er intet at stjæle, intet at sælge og ingen kæde af konsekvenser at følge. Din rigtige e-mails angrebsflade forbliver lille — kun de tjenester, der reelt har brug for den til vigtig løbende kommunikation.
Hvad du skal gøre, hvis din e-mail blev ramt af et databrud
Hvis du opdager, at din e-mail er dukket op i et databrud, er her en praktisk rækkefølge af handlinger, groft sagt i prioriteret rækkefølge:
- Tjek præcis, hvilket databrud den dukkede op i på Have I Been Pwned, og notér, hvilke data der var inkluderet (kun e-mail, eller også adgangskode, navn osv.)
- Skift din adgangskode på den tjeneste øjeblikkeligt — helst til noget langt og unikt genereret af en adgangskodeadministrator
- Tjek for genbrug af adgangskoder — hvis du brugte den samme adgangskode andre steder, så skift den overalt, startende med de mest følsomme konti (e-mail, bank, alle finansielle tjenester)
- Aktivér tofaktor-godkendelse på alle berørte konti, der understøtter det — selv hvis angribere har din adgangskode, kan de ikke logge ind uden den anden faktor
- Opsæt overvågning af databrud på Have I Been Pwned, så du bliver underrettet øjeblikkeligt om enhver fremtidig eksponering
- Hold nøje øje med din indbakke for phishingforsøg, der refererer til den berørte tjeneste — angribere ved, at du var kunde der, og kan bruge den viden
- Rapportér spam til din e-mailudbyder — de fleste e-mailtjenester lader dig markere beskeder som spam, hvilket træner deres filtre til at fange mere af det
- Overvej, om du stadig har brug for kontoen — hvis du ikke længere bruger den berørte tjeneste, fjerner sletning af din konto dine data fra deres database
At opbygge bedre vaner fremover
Den vigtigste indsigt fra alt dette er, at reduktion af din e-mails angrebsflade er den mest effektive forebyggende foranstaltning, der er tilgængelig for dig. Ikke bare at skifte adgangskoder efter databrud, ikke bare at bruge tofaktor-godkendelse (selvom begge betyder noget) — men at begrænse, hvor din rigtige e-mailadresse findes i første omgang. Et databrud kan ikke eksponere data, der aldrig blev givet til den berørte tjeneste.
Den praktiske måde at gennemføre dette på er lagdelt e-mailbrug. Din rigtige e-mailadresse går til de tjenester, der reelt har brug for den: din bank, din arbejdsgiver, dine nærmeste kontakter, tjenester du bruger regelmæssigt og stoler på. For alt andet — downloaden, webinaret, forumindlægget, SaaS-prøveperioden — holder en engangsadresse din rigtige e-mail ude af ligningen. Privatlivsfokuserede e-mailtjenester som Proton Mail er værd at overveje til din primære e-mail, og alias-tjenester som SimpleLogin kan hjælpe dig med at administrere videresendelsesadresser til længerevarende relationer.
Til virkelig engangsinteraktioner er en midlertidig e-mail den reneste løsning — intet at opsætte, ingen konto påkrævet, ingen rigtig identitet involveret. Når den tjeneste til sidst bliver ramt af et databrud (og statistisk set gør mange tjenester det), er din rigtige adresse ganske enkelt ikke i deres database. Du har meldt dig ud af kæden, før den kunne begynde.
En bemærkning om dine GDPR-rettigheder
Hvis du er i EU (eller har at gøre med virksomheder, der betjener EU-kunder), giver GDPR dig reelle, håndhævelige rettigheder. Du kan kontakte enhver virksomhed, der har dine data, og anmode om sletning i henhold til artikel 17 (»retten til at blive glemt«). Mange virksomheder har nu automatiserede portaler til privatlivsanmodninger — søg efter virksomhedens navn plus "privacy request" eller "data deletion". Dette er værd at gøre for tjenester, du ikke længere bruger, da det fjerner dine data fra deres aktive database og reducerer din eksponering, hvis de nogensinde bliver ramt af et databrud.
Begrænsningerne er reelle: en sletningsanmodning påvirker kun det, virksomheden i øjeblikket har. Data, der allerede er solgt til tredjeparter, allerede kopieret ind i databrud-databaser eller allerede i hænderne på spamoperatører, kan ikke nås med en GDPR-anmodning. Dette er endnu en grund til, hvorfor det at forhindre din e-mail i at sprede sig unødigt er langt mere effektivt end at forsøge at rydde op i det bagefter.
Afsluttende tanker
Formålet med at forstå alt dette er ikke at gøre dig paranoid over at bruge internettet. Det er at hjælpe dig med at se, at de beslutninger, du træffer om, hvor du deler din e-mailadresse, har reelle, varige konsekvenser — og at små ændringer i vaner meningsfuldt kan reducere din eksponering over tid. Din rigtige e-mailadresse er værdifuld. Behandl den derefter. Giv den kun til de tjenester, der reelt fortjener den, og lad engangsadresser absorbere alt andet.
Hvis du ikke allerede har gjort det, så tjek din e-mail på Have I Been Pwned i dag. Opsæt notifikationer om databrud. Og næste gang noget beder om din e-mailadresse, og du ikke er sikker på, at det er det værd, så overvej, om en midlertidig e-mail ville gøre arbejdet lige så godt — uden at sætte din rigtige adresse på spil.