En tredjedel af landets borgmestre og flere hundrede byrådsmedlemmer har fået lækket private adgangskoder, som nu flyder frit på internettet.
Adgangskoderne er lækket, efter borgmestrene og byrådsmedlemmerne har brugt deres kommunale mailadresser til at logge ind på blandt andet sociale medier, datingsider og fitness-apps.
Det viser DR's gennemgang af to hjemmesider, som gemmer på adgangskoder og brugernavne fra store datalækager.
Det er en rigtig dårlig idé at bruge sin byrådsmail til private onlinetjenester, understreger to eksperter.
Onlinetjenesterne er nemlig et oplagt mål for hackere, som går efter at høste oplysninger, de kan misbruge til svindel og andre kriminelle formål.
- Når det handler om at stjæle data, går hackerne efter de steder, hvor der er allermest data. Og det er de mest brugte platforme som Spotify, Netflix, Youtube eller Gmail, siger Jacob Buchholz Bech, der er lovlydig hacker på Forsvarets Efterretningstjenestes cyberlandshold og arbejder med it-sikkerhed for TDC.
- Jeg kan ikke se, at der skulle være nogen undskyldning for at bruge sin arbejdsmail til for eksempel Netflix, datingtjenester eller andre private formål, siger teknisk chef Jacob Herbst fra virksomheden Dubex, som rådgiver om cybersikkerhed.
Borgmester fik lækket adgangskoder
Omkring hver syvende byrådsmedlem i Danmark har fået lækket adgangskoder mellem 2012 og 2020, viser DR’s gennemgang.
I Aalborg Kommune har borgmester Thomas Kastrup-Larsen (S) haft sin kommunale mailadresse i 24 år.
I den periode er flere af hans gamle adgangskoder til private onlinetjenester blevet lækket, efter han har brugt sin byrådsmail til at logge på blandt andet LinkedIn.
- Der må jeg lægge mig fladt ned og sige, at der har jeg haft en adfærd, som ligner mange andres, siger Thomas Kastrup-Larsen.
I dag bruger han ikke sin byrådsmail til at logge på private onlinetjenester.
- Det er noget, vi har haft en rigtig god snak om her på kontoret, efter vi er blevet bekendt med datalækkene, og der har jeg simpelthen flyttet de forskellige tjenester, siger Thomas Kastrup-Larsen og tilføjer, at han ikke har haft indbrud i sin mailboks.
Havner på hackernes lister
Når byrådsmedlemmerne er en del af kodeordslæk, havner deres kommunale mailadresser på lister, som hackere bruger til at målrette angreb, fortæller eksperterne.
- Så når de bruger deres byrådsmailadresser andre steder, er de i øget risiko for at blive ramt af hackerangreb, siger han.
Det kan for eksempel være phishing-angreb, hvor hackere snyder ofrene til at udlevere fortrolige oplysninger eller forsøger at plante såkaldt malware på ofrenes computere, der kan ødelægge computerne, stjæle data og skabe kaos.
- Hvis jeg gerne vil inficere en virksomhed, så sender jeg en masse phishing-mails. Og jeg skal bare have én person til at klikke. Virksomheden kan bruge nok så mange penge på awareness-kampagner og på at uddanne folk i, hvad de ikke skal gøre: Hvis bare én har sovet i timen, så er det en vej ind, siger den lovlydige hacker Jacob Buchholz Bech.
At hackerangreb kan udløse kaotiske tilstande, kan den lille norske kommune Østre Toten skrive under på.
I januar blev kommunens it-systemer hacket og låst, så ingen i kommunen kunne få adgang til dem.
Computere kunne ikke bruges. Sundhedsjournaler var utilgængelige. Selv de ældres alarmkald blev sat ud af spillet.
Ni måneder efter angrebet var det fortsat ikke alle it-systemer i Østre Toten, der var tilbage i drift.
Risikoen for et hackerangreb som det, der ramte Østre Toten Kommune, hænger også over danske kommuner og virksomheder, vurderer eksperterne.
'God mulighed for at svindle'
For højtplacerede personer som borgmestre er der også risiko for såkaldt direktørsvindel, hvor hackere vil gå efter at svindle penge fra kommunekasserne, påpeger eksperterne.
- Jo mere tillid du har fra andre mennesker, des mere er du værd for en hacker. Så hvis en person er velkendt og vellidt, vil det at overtage vedkommendes konto være et lukrativt mål for hackere, siger Jacob Buchholz Bech.
Det er teknisk chef Jacob Herbst fra Dubex enig i:
- En borgmester er dybest set den øverste chef i en kommune. Hvis han skriver og beder folk om at gøre et eller andet, og de tror på, at det er ham, der skriver, så er der stor sandsynlighed for, at folk hopper på det. Så er der god mulighed for at svindle.
En tredjedel af byråd har fået lækket koder
I Ringsted Kommune må byrådets 21 medlemmer gerne bruge deres kommunale e-mailadresser privat.
En tredjedel af byrådsmedlemmerne i Ringsted har fået lækket adgangskoder til privat brug, viser DR's gennemgang.
En af dem er Finn Andersen, der har siddet i byrådet i 20 år og genopstiller til kommunalvalget for Kristendemokraterne.
Han har ikke andre e-mailadresser end sin kommunale, og derfor bruger han sin byrådsmail til at logge ind på onlinetjenester som Facebook og LinkedIn.
- Jeg er blevet advaret. It-afdelingen har spurgt, om ikke jeg skulle have to forskellige e-mailadresser, men jeg har holdt mig til en, siger Finn Andersen.
Her giver Jacob Buchholz Bech tre gode råd til at holde hackerne ude:
Hans byrådskollega fra Socialdemokratiet Mette Ahm-Petersen har også brugt sin byrådsmail til private formål.
Også et af hendes gamle kodeord er blevet lækket.
- Det er lidt skræmmende. Man hører meget om hele det her cyberunivers og hackere og tænker, at det altid sker for naboen og ikke for en selv. Så det var mærkeligt at få at vide, siger Mette Ahm-Petersen, som nu i stedet vil bruge sin private mailadresse til at logge ind på private onlinetjenester.
Det samme har Finn Andersen fra Kristendemokraterne besluttet at gøre, hvis han bliver genvalgt til byrådet.
Ingen tegn på sikkerhedsbrud
Direktør i Ringsted Kommune med ansvar for it, digitalisering og jura Gitte Løvgren understreger, at lækket af byrådsmedlemmernes private adgangskoder ikke har udløst sikkerhedsbrud i kommunen.
Hun fortæller, at kommunen har en lang række sikkerhedstiltag, der beskytter de kommunale it-systemer. Det samme oplyser flere andre kommuner, hvor byrådsmedlemmer indgår i datalæk.
- Vi er meget opmærksomme på, at vi skal skærme vores data, og det kræver rigtig meget mere end en kopi af en mail og et password at komme ind til følsomme data i Ringsted Kommune, forsikrer Gitte Løvgren.
I Ringsted Kommune vil man alligevel nu se på, om retningslinjerne for brugen af kommunale mailadresser skal ændres.
- Vi skal selvfølgelig være meget opmærksomme på, at vi har de helt nødvendige sikkerhedsforanstaltninger omkring vores data, siger Gitte Løvgren.