Dokumentation

Vad är dataintrång och infostealerexponering

Vad är dataläckageexponering?

En dataläcka uppstår när inloggningsuppgifter eller personlig data från en tjänst stjäls och senare läcks eller säljs på kriminella marknadsplatser. Om en anställd har använt sin arbetsmejl för att registrera sig på en tredjepartstjänst som senare blivit hackad, kan deras e-postadress och eventuellt lösenord nu vara i angripares händer.

Angripare använder dessa uppgifter i så kallade credential stuffing-attacker — där stulna användarnamn/lösenord testas automatiskt mot VPN, e-post, molntjänster och andra system. Om samma lösenord återanvänds lyckas attacken utan att märkas.

Vad är infostealer-exponering?

Infostealers är en kategori av skadlig kod (t.ex. RedLine, Vidar, Lumma, Raccoon med flera) som i det tysta samlar in sparade webblösenord, sessionscookies, autofyllningsdata och kryptoplånböcker från infekterade enheter. Den insamlade datan — kallad "stealer logs" — säljs ofta i bulk inom timmar efter infektion.

Infostealer-exponering är allvarligare än en vanlig dataläcka eftersom:

  • Den samlar in lösenord som de ser ut vid infektionstillfället, vilket kringgår historiska databaser över dataläckor.
  • Den kan inkludera sessionscookies, vilket gör att angripare kan kringgå MFA helt.
  • Själva enheten kan fortfarande vara komprometterad.

Hur ExposureIndex kontrollerar detta

Identity-scanningen tar e-postadresser kopplade till din organisation och kontrollerar dem mot:

  1. Databaser över dataläckor — samlingar av läckta inloggningsuppgifter från tusentals komprometterade tjänster.
  2. Marknadsplatser för stealer logs — aggregerad data från infostealer-kampanjer, matchad mot e-postdomän och adress.

Resultaten visar vilka konton som exponerats, om lösenord ingick, samt om infostealer-infektion har identifierats.

LeakRadar domänintelligens

Utöver kontroll av enskilda medarbetarkonton använder ExposureIndex LeakRadar för att göra en domänövergripande sökning. Det går längre än dina egna anställda och tittar på inloggningsuppgifter som läckt ut i hela ditt organisatoriska ekosystem — inklusive tredjepartsleverantörer och kunder som interagerar med din domän.

Exponeringskategorier

Anställda (Employees) Inloggningsuppgifter som tillhör e-postadresser på din primära domän (t.ex. @dittföretag.se) och som förekommit i läckta datamängder. Redan ett enda exponerat medarbetarkonto är ett fynd med hög prioritet, eftersom det kan möjliggöra direktåtkomst till interna system via credential stuffing.

Tredjeparter (Third Parties) Inloggningsuppgifter som tillhör externa användare — vanligtvis leverantörer, konsulter eller partners — som har ett konto eller en koppling till din domän (till exempel via en gemensam plattform, kundportal eller tjänsteintegration). Dessa konton ligger utanför din direkta kontroll, men ett komprometterat leverantörskonto kan ändå bli en angreppsväg mot dig — exempelvis via business email compromise (BEC) eller intrång i leverantörskedjan.

Kunder (Customers) Inloggningsuppgifter som tillhör dina kunder och vars e-postadresser förekommer i läckta datamängder tillsammans med din domän. Den här kategorin signalerar att dina kunders konton kan ha komprometterats i ett externt dataintrång. Angripare kan använda dessa uppgifter i kontostöldattacker (account takeover, ATO) mot din plattform.

Lösenordsstyrka

För varje kategori visar rapporten hur starka de exponerade lösenorden är, betygsatta enligt följande:

Betyg Vad det innebär
För svagt (Too Weak) Mycket korta lösenord, ordlisteord eller extremt vanliga lösenord (t.ex. lösenord, 123456). Kan knäckas eller gissas på några sekunder.
Svagt (Weak) Lösenord med viss variation men fortfarande förutsägbara mönster (t.ex. Företag1!). Knäckbara inom minuter med standardverktyg.
Medel (Medium) Måttligt långa lösenord med blandade tecken. Fortfarande en risk om de återanvänds i flera tjänster.
Starkt (Strong) Långa, slumpmässiga eller komplexa lösenord. Låg omedelbar risk, men bör ändå bytas ut om de har exponerats.

En hög andel För svaga lösenord — särskilt bland tredjeparter eller kunder — är ett tydligt varningstecken. Det innebär att en angripare kan få åtkomst till en stor andel av de exponerade kontona utan avancerade verktyg.

Vad siffrorna säger dig

  • Många tredjeparter med svaga lösenord — Din leverantörskedja är din svaga länk. En komprometterad leverantör kan skicka övertygande nätfiske-mejl från en legitim domän eller komma åt gemensamma system. Informera berörda partners och granska vilka åtkomsträttigheter tredjeparter har.
  • Kundexponering — Granska om din plattform kräver tillräcklig lösenordsstyrka, begränsar inloggningsförsök och varnar kunder vid misstänkt aktivitet. Detta är även en GDPR-relevant fråga enligt art. 33/34 om intrånget härrör från dina egna system.
  • Noll exponerade anställda — Ett gott tecken, men inget permanent tillstånd. Domänintelligens är retroaktiv; nya dataintrång dyker upp kontinuerligt. Det är därför ExposureIndex övervakar löpande snarare än som en engångsskanning.

Vad du bör göra

Vid dataläckageexponering

  1. Tvinga lösenordsbyte för det berörda kontot i era interna system — även om läckan skedde hos en tredjepart är lösenordsåteranvändning vanligt.
  2. Aktivera MFA på alla konton om det inte redan är gjort. Ett läckt lösenord är värdelöst om en andra faktor krävs.
  3. Granska lösenordsåteranvändning — uppmuntra eller tvinga användning av lösenordshanterare så varje tjänst får ett unikt lösenord.
  4. Gå över till lösenordsfri inloggning — använd hårdvarubaserade nycklar (t.ex. YubiKey) eller biometriska lösningar som Apple FaceID/TouchID, Windows Hello eller Google/Android (ansiktsigenkänning/fingeravtryck).

Vid infostealer-exponering

  1. Behandla enheten som komprometterad — ominstallera eller kör en fullständig säkerhetsskanning med endpoint-skydd.
  2. Ogiltigförklara alla aktiva sessioner för användaren i alla tjänster (logga ut överallt).
  3. Rotera alla inloggningsuppgifter för tjänster som varit tillgängliga från enheten — inte bara den som visas i rapporten.
  4. Kontrollera eventuell MFA-bypass — om sessionscookies stulits kan angriparen redan vara inloggad. Granska inloggningsloggar efter avvikande aktivitet.

Vid tredjepartsexponering och kundexponering (LeakRadar)

  1. Meddela berörda tredjeparter — Informera leverantörer eller partners vars inloggningsuppgifter förekommer i läckta datamängder. De kan vara omedvetna, och ett komprometterat konto kan bli en angreppsväg mot dig.
  2. Granska tredjepartsåtkomst — Gå igenom vilka system, data och integrationer tredjeparter kan nå. Tillämpa minsta-privilegieprincipen: de ska bara ha åtkomst till det de strikt behöver.
  3. Inför starka lösenordskrav på din plattform — Om kunder uppvisar svaga eller medelstarka exponerade lösenord, överväg att kräva starkare lösenord vid registrering eller implementera kontroll mot kända läckta lösenord (t.ex. via HaveIBeenPwned API) vid inloggning.
  4. Aktivera skydd mot kontostölder — Begränsa inloggningsförsök, varna användare vid misstänkt inloggning och erbjud MFA till kunder.

Generell härdning

  • Implementera ett Endpoint Detection and Response (EDR)-verktyg som upptäcker infostealer-beteenden i realtid.

  • Inför phishing-resistent MFA (hårdvarunycklar eller passkeys) för kritiska system — SMS/TOTP kan kringgås via stulna sessioner. Exempel: (Friends Of Claudia) (Acronis) (MalwareBytes)

  • Utbilda personal att inte spara lösenord i webbläsare på delade eller ohanterade enheter. Använd lösenordshanterare för att skapa unika, långa och komplexa lösenord — så att användare slipper komma ihåg alla eller återanvända samma lösenord. Exempel: (Friends Of Claudia) (HeyLogin) (1Password)

Senast uppdaterad: April 29, 2026