Dokumentation

Vad är dataintrång och infostealerexponering

Vad är dataläckageexponering?

En dataläcka uppstår när inloggningsuppgifter eller personlig data från en tjänst stjäls och senare läcks eller säljs på kriminella marknadsplatser. Om en anställd har använt sin arbetsmejl för att registrera sig på en tredjepartstjänst som senare blivit hackad, kan deras e-postadress och eventuellt lösenord nu vara i angripares händer.

Angripare använder dessa uppgifter i så kallade credential stuffing-attacker — där stulna användarnamn/lösenord testas automatiskt mot VPN, e-post, molntjänster och andra system. Om samma lösenord återanvänds lyckas attacken utan att märkas.

Vad är infostealer-exponering?

Infostealers är en kategori av skadlig kod (t.ex. RedLine, Vidar, Lumma, Raccoon med flera) som i det tysta samlar in sparade webblösenord, sessionscookies, autofyllningsdata och kryptoplånböcker från infekterade enheter. Den insamlade datan — kallad "stealer logs" — säljs ofta i bulk inom timmar efter infektion.

Infostealer-exponering är allvarligare än en vanlig dataläcka eftersom:

  • Den samlar in lösenord som de ser ut vid infektionstillfället, vilket kringgår historiska databaser över dataläckor.
  • Den kan inkludera sessionscookies, vilket gör att angripare kan kringgå MFA helt.
  • Själva enheten kan fortfarande vara komprometterad.

Hur ExposureIndex kontrollerar detta

Identity-scanningen tar e-postadresser kopplade till din organisation och kontrollerar dem mot:

  1. Databaser över dataläckor — samlingar av läckta inloggningsuppgifter från tusentals komprometterade tjänster.
  2. Marknadsplatser för stealer logs — aggregerad data från infostealer-kampanjer, matchad mot e-postdomän och adress.

Resultaten visar vilka konton som exponerats, om lösenord ingick, samt om infostealer-infektion har identifierats.

Vad du bör göra

Vid dataläckageexponering

  1. Tvinga lösenordsbyte för det berörda kontot i era interna system — även om läckan skedde hos en tredjepart är lösenordsåteranvändning vanligt.
  2. Aktivera MFA på alla konton om det inte redan är gjort. Ett läckt lösenord är värdelöst om en andra faktor krävs.
  3. Granska lösenordsåteranvändning — uppmuntra eller tvinga användning av lösenordshanterare så varje tjänst får ett unikt lösenord.
  4. Gå över till lösenordsfri inloggning — använd hårdvarubaserade nycklar (t.ex. YubiKey) eller biometriska lösningar som Apple FaceID/TouchID, Windows Hello eller Google/Android (ansiktsigenkänning/fingeravtryck).

Vid infostealer-exponering

  1. Behandla enheten som komprometterad — ominstallera eller kör en fullständig säkerhetsskanning med endpoint-skydd.
  2. Ogiltigförklara alla aktiva sessioner för användaren i alla tjänster (logga ut överallt).
  3. Rotera alla inloggningsuppgifter för tjänster som varit tillgängliga från enheten — inte bara den som visas i rapporten.
  4. Kontrollera eventuell MFA-bypass — om sessionscookies stulits kan angriparen redan vara inloggad. Granska inloggningsloggar efter avvikande aktivitet.

Generell härdning

  • Implementera ett Endpoint Detection and Response (EDR)-verktyg som upptäcker infostealer-beteenden i realtid.

  • Inför phishing-resistent MFA (hårdvarunycklar eller passkeys) för kritiska system — SMS/TOTP kan kringgås via stulna sessioner.
    Exempel: (Friends Of Claudia) (Acronis) (MalwareBytes)

  • Utbilda personal att inte spara lösenord i webbläsare på delade eller ohanterade enheter. Använd lösenordshanterare för att skapa unika, långa och komplexa lösenord — så att användare slipper komma ihåg alla eller återanvända samma lösenord.
    Exempel:
    (Friends Of Claudia) (HeyLogin) (1Password)

Senast uppdaterad: March 28, 2026