11 gratis værktøjer til at tjekke for datalæk
Din e-mailadresse kan være lækket på nettet, uden at du har bemærket det. Ét datalæk hos en webshop, én genbrugt adgangskode, og pludselig kan cyberkriminelle logge ind på dine sociale medier, tømme din PayPal-konto eller købe nye iPhones i dit navn.
Det lyder dramatisk - og det er det også
Hver eneste dag dukker der friske databaser op på paste-sites, hacking-fora og det mørke net. Milliarder af brugernavne, adgangskoder og personlige oplysninger handles som discount-varer, og Danmark er ingen undtagelse.
Men hvordan finder du ud af, om dine informationer ligger og flyder dérude? Og hvad gør du, hvis du opdager, at de gør?
I denne guide gennemgår vi:
- Hvad et datalæk egentlig er - og hvorfor de sker oftere, end du tror.
- 11 gratis værktøjer (fra Have I Been Pwned til Google Password Checkup), som på få sekunder kan afsløre, om din e-mail eller adgangskode er kompromitteret.
- De konkrete skridt du bør tage, når der er bingo - fra at skifte koder til at aktivere tofaktorlogin.
Artiklen er til dig, der:
- Har hørt om endnu et stort læk i nyhederne og spekulerer: “Er jeg ramt?”
- Oplever mistænkelige login-forsøg eller phishing-mails.
- Genbruger (stadig) samme adgangskode flere steder og ved, at det er en dårlig idé.
Tid til et reality-check: Rul ned, og lad os sikre, at dine digitale nøgler ikke allerede ligger i hænderne på de forkerte.
Forstå datalæk: hvad de er, hvorfor de sker, og hvornår du bør tjekke
Datalæk opstår, når oplysninger - typisk e-mailadresser, adgangskoder, betalingskort eller CPR-numre - utilsigtet slipper ud fra de systemer, hvor de burde være beskyttet. Det kan ske via hackerangreb, fejlkonfigurationer, insidertrusler eller glemte sikkerhedskopier på åbne servere. Når lækket først er sket, kopieres filerne hurtigt og spredes, så de i praksis aldrig kan “hentes hjem” igen.
Den primære distributionsvej er offentlige paste-sites (fx Pastebin) og lukkede fora på det såkaldte dark web. Her handles databaser i pakker, der samles til massive “combo-lists”, som giver angribere mulighed for at teste milliarder af brugernavn/adgangskode-par mod populære tjenester via automatisk credential stuffing. Jo flere gange et datasæt bliver delt, jo større er risikoen for, at netop dine informationer ender i hænderne på en, der ved, hvordan de kan udnyttes.
Konsekvenserne spænder fra kontoovertagelse (e-mail, sociale medier, streaming) over misbrug af betalingsoplysninger til egentligt identitetstyveri, hvor lækkede person- og kreditoplysninger bruges til at optage lån eller handle i dit navn. I virksomheder kan et læk føre til svindel med fakturaer, industrispionage eller kædereaktioner, hvor kompromitterede medarbejderkonti giver adgang til kundedata.
Derfor er det værd at køre et hurtigt tjek, når 1) et stort læk rammer nyhederne, især hvis du ved, du har (eller havde) en konto på den berørte tjeneste 2) du oplever mistænkelig aktivitet som ukendte login-alarmer eller køb 3) du genbruger adgangskoder på tværs af sites 4) du modtager målrettede phishing-mails eller SMS’er. Et proaktivt check giver dig mulighed for at reagere, før en angriber gør - og i mange tilfælde kan et simpelt adgangskodeskift og aktivering af tofaktorlogin være nok til at neutralisere truslen.
11 gratis værktøjer: hurtigt tjek af e-mail og adgangskoder
Før du kaster dig ud i de enkelte tjenester, er det nyttigt at kende forskellen på “er-min-mail-lækket?”-tjek vs. “er-min-adgangskode-lækker?”-tjek. Førstnævnte søger i databaser med milliardvis af kompromitterede konti og viser, hvilke brud din e-mailadresse indgår i; sidstnævnte sammenligner selve adgangskode-hashen, typisk via k-anonymitet, så du aldrig uploader hele koden. Alle 11 værktøjer herunder er gratis, men varierer i hvor dybt de går, hvor mange advarsler du får, og om de kræver log-in eller browser-udvidelse. Grundreglen er: Brug flere kilder, hvis du vil have det fulde billede, og pas på aldrig at indtaste fulde adgangskoder på sider, der ikke bruger etableret hash-opslag (f.eks. Troy Hunts API).
E-mail/identitet - hurtigt overblik:
- Have I Been Pwned (HIBP) - størst dækning og mulighed for automatiske notifikationer; ingen konto påkrævet.
- Firefox Monitor - trækker data fra HIBP men tilbyder Mozilla-login til løbende overvågning og spam-filtre.
- HPI Identity Leak Checker - sender dig en detaljeret rapport pr. e-mail (hvor, hvornår, hvilke felter lækket).
- F-Secure Identity Theft Checker - bruger egen research + HIBP; viser kun overskrift på læk i gratisversionen, men parres elegant med F-Secures VPN/ID-Guard, hvis du senere vil opgradere.
- Avast Hack Check - browser-udvidelse eller web; god til hurtige pop-up-advarsler, men gratis-udgaven giver begrænsede detaljer.
- Cybernews Personal Data Leak Checker - dækker mange mindre sager (bl.a. forums og gamer-sites) som HIBP endnu ikke har, men viser kun de seneste fem brud gratis.
- SpyCloud Check Your Exposure - henvender sig mest til virksomheder; kræver verifikation af domæne for fulde data, men giver privatpersoner et sæt nøgle-brud og råd.
Adgangskoder - direkte styrketjek:
- HIBP Pwned Passwords - k-anonym API; kan integreres i din password-manager eller køres manuelt. Viser hvor mange gange koden er set.
- Google Password Manager (Password Checkup) - findes i Chrome og Android; scanner alle gemte logins for læk, svaghed og genbrug. Kræver Google-konto.
- Apple iCloud-nøglering - under Indstillinger → Adgangskoder → Sikkerhedsanbefalinger; arbejder lokalt på enheden og flagger kompromitterede koder via HIBP.
- Microsoft Edge Password Monitor - bruger Microsofts egen læk-database; pop-up-advarsler direkte i browseren og synkroniserer på tværs af Windows-enheder.
Handl på fund: trin-for-trin og bedste praksis
Et positivt fund behøver ikke ende i panik. Start med at skifte alle adgangskoder, der nævnes i lækket. Vælg en helt ny kode - ikke bare en variation - og generér den gerne direkte i din password-manager, så den er lang, unik og randomiseret. Aktivér derefter tofaktorlogin (2FA) overalt, hvor det er muligt, så et eventuelt nyopfanget password ikke i sig selv giver adgang. Har du genbrugt den kompromitterede kode andre steder, så opdater også disse konti med det samme; et datalæk spreder sig lynhurtigt via “credential stuffing”, hvor angribere automatisk prøver den samme mail/kode-kombination på dusinvis af populære tjenester.
Fortsæt med en session-hygiejne: log ud af alle aktive enheder, apps og webbrowsere, og nulstil API- eller app-tokens (f.eks. i Spotify, Slack eller GitHub), så allerede udstedte nøgler ikke kan genbruges. Tjek derefter dine sikkerhedsspørgsmål og gendannelses-mailadresser; de har samme værdi som en adgangskode, hvis de er blevet høstet. Mange tjenester viser også en aktivitets- eller login-historik - skimt efter logins fra mærkelige steder og tidszoner, og rapportér/afbryd dem.
Når de digitale døre er lukket, er det tid til overvågning. Gennemgå kontoudtog, MobilePay-historik og eventuelle kreditkort med jævne mellemrum de næste 6-12 måneder. Slå SMS- eller push-notifikationer til for hævninger og større transaktioner, så du reagerer hurtigt på misbrug. Har du gamle, ubrugte konti til nyhedsbreve, fora eller webshopper, så slet eller deaktiver dem; de er ofte dårligere beskyttet og bliver hyppigt mål for angreb. Husk også at rense datasporet hos cloud-tjenester som Dropbox eller Google Drive, hvis et læk afslører følsomme dokumenter.
Til sidst: del aldrig hele adgangskoder i læk-tjekkere - brug værktøjer baseret på k-anonymitet (f.eks. HIBP Pwned Passwords), som kun sender et hash-fragment. For virksomheders maildomæner kan du gratis opsætte DNS/TXT-verifikation hos Have I Been Pwned, så du får besked, når nye firmamails dukker op i et datalæk, uden at afsløre selve adresserne offentligt. Kombinér dette med et uge- eller månedsvis sweep i de nævnte værktøjer, og du har en løbende, proaktiv overvågning - uden at måtte afgive unødvendige personoplysninger undervejs.