(Uppdatering: Den som twittrar via Petzälls hackade konto är inte samma person som den som hackade Bloggtoppen, enligt Ajour och Resumé. Nu har dessutom diskussionen från Gomorron Sverige om källskyddet och datasäkerheten kommit upp, och bäddas in nedan. Vid ca 10:15 tar Laurin upp frågan om Aftonbladets servrar - mycket tänkvärt. Det här inlägget kan nu också läsas på Second Opinion.)
Över 50 sajter, hittills. Det talas om att lösenord till upp till 180000 konton läckt ut...
Jag missade dramatiken igår när avhoppade SD-riksdagsledamoten William Petzälls twitterkonto började spotta ut information på förmiddagen. I efterhand känns det ju rätt bra att ha varit AFK fram till sen eftermiddag, så slapp jag förvirringen och kom in när omständigheterna klarnat.
I korthet: Petzäll ligger tvångsinlagd och kan rimligen inte twittrat själv, varför uppgifterna om att hans konto hackats torde stämma. Twittret handlade om läckta lösenord som SD skulle ha tillgång till, vilka i själva verket funnits publicerade ett bra tag och kunnat hittas via Flashback. En kul detalj är att "Petzäll" outade Linus Bylund, Martin Kinnunen och Kent Ekeroth som upphovsmännen till PI:s efterträdare "Avpixlat", vilket ledde till att Kent Ekeroth gick ut i SR:s Alltid Nyheter och rentvådde sina två partikamrater, något Camilla Rågfors skriver lite mer om.
Mer finns att läsa på Ajour 1, 2, 3, hos DeepEdition, Nikke Index och Expo.
Det har spekulerats i vad hackarna var ute efter med att kapa och använda Petzälls konto. Jag kan mycket väl tänka mig att det handlar om lulz. Jag föreställer mig att förvirringen och paniken på den sociala webben som uppstod när "Petzäll" började "läcka hemligheter" måste ha varit alldeles underbart kul att se. En otroligt kul trollning, i så fall...
... Och mycket nyttig, om vi tänker efter lite, för affären lyfter en hel del mycket relevanta frågor.
Nu på morgonen avslöjar "Petzäll" att Bloggtoppens admin hade "admin" som både inloggningsnamn och lösenord. Stabilt säkerhetstänk, eller vad tycker ni? Av allt att döma verkar säkerheten på Bloggtoppen varit ungefär så avancerat som krävs för att möjligen hålla en sexåring med en C64 ute, men inte särskilt mycket mer. Det är ett säkerhetstänk som verkar delas av en hel del av landets journalister och politiker, vilka haft rent löjligt lättknäckta lösenord, som de dessutom i flera fall använt på fler konton, till exempel sin jobbmail.
Sug på det ett tag... Mail från uppgiftslämnare till pressen som potentiellt kan utsätta uppgiftslämnaren för stora risker i fel händer, skyddas av lösenord som kan läcka ut såhär lätt. Det grundlagsstadgade meddelarskyddet hotas alltså av vissa av journalisterna själva, för att de är för lata eller okunniga för att skydda sin data.
I det läget är det kanske inte hackers vi i första hand ska oroa oss för.
Aftonbladets chefredaktör Jan Helin har delat med sig av sin visdom i media en hel del idag: "Säkerhetsrutinerna måste bli bättre, och det visar att vi lever i ett helt nytt medielandskap."
Tack Janne.
Komiken blir sedan stor nu på morgonen när Fredrik Laurin - dagens hjälte - och Jan Helin gästar Gomorron Sverige på SVT. I slutet av en diskussion om källskyddet påpekar Laurin att Aftonbladet numera använder sig av servrar i USA för sin e-post. USA, alltså, som inte har samma källskydd som vi har, och som redan tidigare via domstolar tilltvingat sig tillgång till mailkonton och Twitter-konton tillhörande till exempel Wikileaks-medarbetare.
Jan Helin bekräftade att servrarna stod i USA, och fick ur sig något om att det lät lite "konspiratoriskt", vilket i och för sig bara är att vänta sig. Jan Helins jobb är att försvara sin tidnings varumärke, och kan inte gärna göra så mycket annat än att hävda att AB:s säkerhet är god.
Själv anser jag att det är ett idiotiskt exempel på försumlighet. AB är enligt grundlagen alltså skyldiga att skydda sina källor, och bör således hållas ansvariga för att ha placerat informationen hos främmande makt, där den inte åtnjuter det svenska lagliga skyddet som en god publicist har att rätta sig efter. Man kan tycka att det är en konspiratorisk syn, men det är faktiskt en tidnings skyldighet att vara ytterst misstänksam och försiktig i hanteringen av känsligt material.
Vad gäller politikernas mailadresser som kan ha öppnats för nyfikna i hackerattacken, kan jag ju bara välkomna dem till min vardag - såhär känns det att aldrig veta när FRA är inne och rotar i min privata korrespondens, och sådant tycker ni ju inte är något att gnälla över? Jag hoppas Sofia Arkelsten och andra berörda har rent mjöl i påsen, för då har de ju inget att vara rädda för.
För dig, journalist, politiker eller privatperson, som nu oroar dig för din datasäkerhet, ta dagen till att gå igenom dina konton, och byt ut lösenorden. Magnihasa har skrivit en liten guide, som jag kan rekommendera. Är du journalist och inte orkar eller har tid med detta, bör du följa Jan Guillious exempel, och hålla dig till skrivmaskinen (om du inte är Fredrik Virtanen eller något, för då lär inget av verkligt nyhetsvärde passera genom din dator).
Ställ dig nu ett par frågor:
"Behöver jag den här tjänsten?" - om svaret är "ja", LÄS användaravtalet, och se över sekretessinställningarna.
"Finns det möjlighet att logga in via https?" - om svaret är "vad är https?", tycker jag att du ska googla termen, och lära dig vad den betyder. Twitter, Fejjan och Google har inställningar som gör https till default, för övrigt. Använd det.
En fråga du INTE behöver ställa dig är "har jag rent mjöl i påsen?", för det kan du faktiskt aldrig veta säkert, och du bör därför utgå från att din information är värdefull nog att skydda.
Och du?
Innan du gör allt detta, kan du börja med att uppdatera brandvägg och antivirus, och söka igenom datorn efter spyware, för ligger det en keylogger på datorn spelar det ingen roll hur många gånger du byter lösen.
--------------------------------------
Hackade bloggare: Peter Andersson, Teknikhemmet, Kulturbloggen, Magdalena Graaf, Rick Falkvinge
