— Det er ikke slik at folk må skynde seg å bytte alle passord nå med en gang, denne sikkerhetsglippen har pågått i to år nå, sier Vidar Sandland i Norsk Senter for informasjonssikring (Norsis), som er en del av regjeringens satsing på informasjonssikkerhet i Norge og er underlagt Justisdepartementet.
Han uttalte tidligere onsdag kveld at alle burde bytte alle passord nå , etter at Nasjonal sikkerhetsmyndighet (NSM) hadde sendt ut en pressemelding der de oppfordret tjenesteleverandører som er rammet av et alvorlig sikkerhetshull, om å anbefale sine kunder å bytte passordene sine på nettet.
- Det er generelt viktig å bytte passord regelmessig, men viktigst å sørge for at man har ulike passord til de forskjellige innloggingstjenestene man er knyttet til, sier han i 22-tiden onsdag kveld.
Denne uken ble feilen «Heartbleed» oppdaget i OpenSSL – en tjeneste som skal beskytte mot at informasjon på nettet kommer på avveie.
Sandland sier en av konsekvensene av sikkerhetsglippen er at mange brukernavn og passord kan ha kommet på avveie.
Han understreker at man gjerne kan vente med å bytte passord til man får beskjed om det fra de ulike leverandørene, men at det heller ikke er farlig om man gjør det før man får en slik beskjed.
— Hovedbudskapet nå er at bedriftene må sikkerhetsoppdatere serverne sine. Det er det aller viktigste.
En feil, ikke et angrep
Sandland sier sikkerhetsglippen er en feil, og ikke et bevisst angrep.
— Forhåpentligvis går dette inn i historien som en stor og alvorlig sikkerhetsglipp som ikke fikk noen større konsekvenser enn det.
- Og i verste fall?
— I verste fall er enorme mengder brukernavn og passord på avveie. Det kan igjen føre til at folk stjeler identitet, logger på mail, går inn på facebook-kontoer og så videre.
Hackere kan utnytte glippen
Sandland advarer mot at hackere og andre nå kan utnytte sikkerhetsglippen.
— Nå som det er blitt kjent vil nok mange begynne å utnytte dette og gjøre denne informasjonen tilgjengelig for hvem som helst. Mange vil nok også motta mail om at passord og brukernavn er på avveie, og at man må gå inn og gi fra seg dette på nytt. Det skal man også være på vakt for, og aldri gi fra seg personopplysninger basert på informasjon man får på sms eller mail.
Sandland oppfordrer oss også til å følge ekstra nøye med på kredittkorttransaksjoner fremover.
— Men nettbanker kan ikke bli misbrukt fordi de har en totrinns-identifisering, sier han.
- Ikke gi nytt passord i gave til hackerne
Datasikkerhetsekspert Per Thorsheim i God Praksis råder folk til å vente med å bytte passord. Han sier at hackere nå er i full gang med å utnytte sårbarheten som har oppstått.
— Hvis du bytter passord til for eksempel en nettbutikk du bruker, og de selv ennå ikke har sjekket om de er sårbare på grunn av denne programmeringsfeilen, kan det være fare for at de er under angrep av hackere. Da gir du bare ditt nye brukernavn og passord i gave til hackerne, forklarer han. - Derfor er det er lurt å vente med å skifte passord til for eksempel nettbutikken din har lagt ut melding om at de ikke er sårbare lenger - hvis den noen gang har vært det.
Thorsheim legger til at det er mange servere å sjekke for de store tjenesteleverandørene, selv om det går fort å rette feilen.
Kappløp med hackerne
— Derfor blir det et kappløp om hvor fort hackerne klarer å stjele flest mulig passord, sier han.
Thorsheim mener nesten alle nordmenn som bruker internett trolig er berørt på minst én tjeneste. - Vi har aldri sett noe tilsvarende før, sier han.
Han mener det var riktig å gå ut og informere offentlig om sårbarheten, fordi man ikke vet hvilke leverandører som har brukt det aktuelle systemet OpenSSL, der feilen oppsto for to år siden. Det var den eneste muligheten å advare på, selv om man da legger mange virksomheter åpne for hackerangrep.
Chess ber kundene bytte passord
I følge Sandland i Norsis er svært mange store norske selskaper rammet av sikkerhetsglippen.
Foreløpig kjente er Chess, Norwegian og Ventelo.
Chess-direktør Arve Andreassen sier i kveld til Aftenposten at de anbefaler alle sine kunder å skifte passord.
Norwegian bekrefter også at de har oppdaget feil i sikkerheten i programvaren, men de kan ennå ikke si noe om de anbefaler kundene å bytte passord.
— Vi fikk oppgradert programvaren umiddelbart etter at den ble tilgjengelig fra leverandøren slik at sikkerhetshullet nå er tettet.
Dette er noe vi tar på høyeste alvor, og vi fortsetter å følge nøye med på hva som skjer og finne ut av hvilke skader dette kan ha påført oss, sier Astrid Mannion, kommunikasjonsrådgiver i Norwegian, onsdag kveld.
Administrerende direktør i Ventelo, Tormod Stien, sier at serveren det er snakk om ikke inneholder innloggingsinformasjon til kunder, og at det dermed ikke er risiko for at kundedata er på avveie. – Våre tekniske eksperter har tettet sikkerhetshullene da dette ble oppdaget, og vi er ikke sårbare lenger nå, sier han.