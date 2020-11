DN kan nu berätta om en pågående, mycket omfattande stöld av lösenord som just nu drabbar hundratals svenskar, personer inom näringsliv, fackförbund och offentlig verksamhet.

Lösenorden stjäls via falska inloggningssidor till exempelvis konferenssamtal via Zoom. Användaren lockas dit med ett falskt e-postmeddelande, klickar och ombeds fylla i sitt lösenord.

Men i stället för att loggas in hamnar lösenordet i händerna på bedragaren. Via en källa i it-säkerhetsvärlden har DN fått insyn i vilka lösenord som har stulits på detta sätt. Angriparna har, möjligen av misstag, nämligen gjort sin databas öppet tillgänglig på nätet. Där finns tusentals personers uppgifter: E-postadresser, lösenord och ip-numret de loggade in från.

Det kallas nätfiske eller phishing, och är en vanlig metod att stjäla lösenord och andra känsliga uppgifter. Men denna våg utmärker sig genom sin omfattning, knep för att ta sig förbi filter, och att databasen med stulna lösenord blev offentlig.

Tre personer som DN har varit i kontakt med bekräftar att det är deras riktiga lösenord som figurerar i databasen. En av dem har råkat klicka och fylla i lösenordet bara timmar tidigare. Hen minns tydligt att mejlet hade sorterats bort i skräpkorgen, men uppfattade det som så trovärdigt att hen ändå följde länken.

Flera offentliga personer finns i läckan. En av dem är fackförbundet IF Metalls ordförande Marie Nilsson. Även till henne kopplas både en e-postadress och ett lösenord.

Trots upprepade förfrågningar till IF Metalls presstjänst har fackförbundet inte svarat på frågor om händelsen.

En annan är Lena Dahlstedt, stadsdirektör och därmed den högsta tjänstemannen i Nacka kommun. Hon vill inte kommentera händelsen närmare eller bekräfta att lösenordet i databasen är äkta, men säger att hon efter att hon blev kontaktad har bytt alla sina lösenord.

Även en person som tidigare hade en hög chefsposition på Ericsson finns med.

Inget tyder på att stölden av lösenord har avstannat. Så sent som på fredagseftermiddagen kunde DN:s källa verifiera att nya lösenord fortsatte att strömma in.

Hur stor skada ett sådant läckt lösenord gör beror på flera omständigheter. Har personen använt samma lösenord på flera ställen – exempelvis på Facebook och till andra e-postadresser – så kan hackarna få tillgång även till dem.

Skadan kan å andra sidan bli mindre om konton skyddas med så kallad tvåfaktorsinloggning, som innebär att man förutom lösenord även behöver en engångskod, ofta skickad till mobilen, för att logga in.

Ingenting tyder på att angreppet är riktat mot någon speciell person eller något särskilt företag. Snarare tycks angriparna ha skickat bluffmejlen till enormt många mottagare. På ett enda företag ska 500 anställda ha fått det, varav många gick på bluffen.

Det är oklart vad syftet med lösenordsstölden är.