E-postangrep (credential stuffing-angrep)
Såkalte credential stuffing-angrep (e-postangrep) utgjør en betydelig og økende sikkerhetstrussel. Credential stuffing er en cyberangrepsmetode som utnytter folks tendens til å bruke samme brukernavn og passord på tvers av flere nettkontoer. Ved å bruke stjålne påloggingsdetaljer hentet fra urelaterte datainnbrudd, kan trusselaktørene få tilgang til folks kontoer på tvers av nettsteder. Disse angrepene er automatiserte og skjer ofte i stor skala.
Datatilsynet ser klare sammenhenger mellom store datalekkasjer av databaser med brukernavn og passord og angrep mot norske virksomheter.
Les på digi.no: Massiv datalekkasje - 26 milliarder poster lekket
Les på digi.no: TV2 utsatt for dataangrep
Derfor har datatilsyn fra mange land gått sammen og laget veiledning om hva dette innebærer og hva individer og virksomheter kan gjøre for å forebygge, oppdage og redusere risikoen for slike angrep.
Se veiledningen om e-postangrep (credential stuffing)
Personvern og e-postangrep
E-postangrep som lykkes, kan i mange tilfeller føre til at personopplysninger kommer på avveier eller blir gjort utilgjengelige. En trusselaktør som logger seg inn i et system med et gyldig brukernavn og passord, har for eksempel minst tilegnet seg ulovlig tilgang til brukerens profilinformasjon, i tillegg til å å ha fått en bekreftelse på at kombinasjonen av brukernavnet og passord er i aktivt bruk. Det er derfor ofte kun et spørsmål om hvor mange personopplysninger bruddet gjelder. For å finne ut av dette må dere vite i hvilke systemer dere behandler personopplysninger, og dere må gjennomgå loggene for disse systemene.
Hvis virksomheten oppdager et innbrudd i egne systemer, må bruddet først og fremst stoppes.
Konsekvensene for personvernet kan være betydelige, avhengig av hvilke opplysninger som behandles i systemene. Virksomheten bør derfor raskt forsøke å få oversikt over hvilke personopplysninger som er omfattet, slik at de kan vurdere om de berørte personene skal varsles.
Hvis svindelen «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» trenger dere ikke melde fra til Datatilsynet.