När dataintrånget mot Aftonbladet juni 2006 blev känt förra veckan sade IT-chefen Oscar Edholm att tidningen uppmanade sina användare av annonsbokningssystemet att ändra sina inloggningsuppgifter. Idag backar Aftonbladet från de uppgifterna.

Av den interna e-post från Aftonbladet som hackergruppen VFH publicerade på Flashbacks forum framgår att Aftonbladet sommaren 2006 upptäckte att någon dels ändrat rootlösenordet, dels gjort en kopia av hela databasen över användare av annonsbokningssystemet. I klartext betyder det att hackarna kunnat göra vad de vill med systemet och att alla användares användarnamn är i orätta händer. Aftonbladets tekniker måste också ha känt till att deras eget system för inloggning till annonssystemet tillät väldigt svaga lösenord, till exempel 123456. Teknikerna måste ha insett att det bara var en tidsfråga innan många av lösenorden kunde vara knäckta. Antingen varnade inte teknikerna eller så lyssnade inte ledningen.

Till Dagens Media sade Oscar Edholm att annonsörerna uppmanades att byta sina lösenord efter det förra intrånget i juni 2006. Det uttalandet väckte stor uppmärksamhet på Flashbacks forum och i IT-säkerhetskretsar eftersom ingen verkade tro på det. Techworld ringde ett drygt halvdussin personer på den publicerade listan över användare. Ingen av dem hade något minne av att Aftonbladet skulle ha kontaktat dem. På reklambyrån Spinn säger Mattias Wallin, VD och projektledare, att inte heller han har något minne av att Aftonbladet ska ha kontaktat dem för att varna att deras inloggningsuppgifter kommit på drift. Men han är inte orolig för att de ska användas på andra webbplatser. Han har sett till att alla har unika inloggningar för varje webbplats.
- Det låter jag inte någon annan ansvara för, säger han.

Att en person som tar sin IT-säkerhet på så stort allvar skulle ignorera en varning om att ett av hans lösenord är på drift kändes inte troligt tyckte vi. Så vi ringde Aftonbladets IT-chef Oscar Edholm. På tisdagen veckan efter att dataintrånget blev känt säger han att Aftonbladet 2006 inte såg risken i de röjda användarnamnen och lösenorden. Att hackarna skulle knäcka lösenordslistan och sen prova om samma användarnamn och lösenord fungerade på fler ställen kändes inte som ett hot då. Idag önskar han att tidningen dels raderat alla röjda konton och tvingat användarna att välja nya användarnamn och lösenord. Dels att tidningen gått ut till alla berörda och berättat vad som hänt.

Idag beskriver han det som hänt de senaste dagarna som ”tråkigt, nyttigt och dyrt” och att det väckt en del medvetenhet. Vad gäller hans eget val av lösenordet ”Anakin” så säger han att han tyckte det dög till de två tjänster där han använde det. Det vill säga annonshanteringssystemet och hans eget konto på Linkedin.

Han säger att hackarna tagit sig in i det som tidigare var Aftonbladets yttre intranät och inte kommit vidare. De ska heller inte ha kommit över hans e-post.

IT-säkerhetsexperten Per Hellqvist på Symantec tycker att det är en god vana att berätta om dataintrång.
- Incidenter kan vara lärorika för en själv och andra. Men om den som drabbas mörkar så kan inte vi andra lära oss. Och vad värre är, den vars personuppgifter eller inloggningsuppgifter är på drift vet inte om att hon är i farozonen. I USA har det till och med blivit lag på att du måste skicka ett personligt brev till alla drabbade om du röjer personuppgifter, säger Per Hellqvist.

Eftersom många misstänkte att många annonsörer använder samma lösenord och användarnamn hos Expressen och Aftonbladet ringde vi Expressen för att höra om de kommer att varna sina användare.
- Nej, vi har ett annat system än Aftonbladet. Vi använder samma användarnamn och lösenord för alla annonsörer. Den som hör av sig och vill annonsera får ett generellt användarnamn och lösen och lägger in material och kontaktuppgifter själv, säger Ola Hammerman, systemförvaltare på Expressens annonssystem.

Den sammanställning Techworld gjort visar att båda tidningarnas annonssystem fungerar så att det är lätt att lägga upp material och kontaktuppgifter. I praktiken har ingen av dem någon spärr för den som vill lägga in vad som helst. Men så länge systemen bara används för annonser i papperstidningen går det inte att sprida elak kod den vägen. Båda tidningarna kräver också att annonsören har kontakt med tidningens annonsavdelning och båda tidningarna säger sig kontrollera annonserna manuellt. Spärren sitter alltså i kontrollen av vad som kommer ut ur systemet.

Svagheten i Aftonbladets system var att det i praktiken samlade på sig en massa svaga lösenord som gick att stjäla och använda på andra ställen. Expressens system med ett enda lösenord för alla användare kan sägas vara svagare rent tekniskt. Men Aftonbladets problem var att det över tiden byggde upp en lista på över tvåtusen lösenord som blev ett fett mål för hackare.

Källa: Dagens Media

Vi har samlat alla våra artiklar om dataintrånget mot Aftonbladet här.