Espen Rasmussen (f.v), Jonas Alsaker Vikan og Jonas Nilsson utenfor lokalene til Oslomet under Data-Skup. Foto: Eskil Wie Furunes
Espen Rasmussen (f.v), Jonas Alsaker Vikan og Jonas Nilsson utenfor lokalene til Oslomet under Data-Skup. Foto: Eskil Wie Furunes

Kunne ikke fortelle kolleger at de jobbet med passordlekkasjene

Adresseavisen-journalistene måtte ha strenge etiske og juridiske retningslinjer for prosjektet «Lekkelandet.»

Publisert   Sist oppdatert

Det siste året har graverne i Adresseavisen levert flere store saker på internasjonalt nivå. Blant annet om en trøndersk forretningsmann som skal ha finansiert direktesendte overgrep av barn i fortellingen om «Barna vi sletter». Og avsløringen av en mann som hacket kvinner og invaderte deres privatliv i fortellingen om «Jakten på Max».

Den siste avsløringen fra Adressa er historien «Lekkelandet», om minst 600.000 nordmenn som har fått passordet sitt lekket på nett. 10. oktober ble saken publisert. 13. oktober fulgte gjengen opp med nyheten om minst 2.700 mediefolk hadde fått sitt passord lekket. Antallet har i ettertid økt til over 4.000.

– Vi måtte knuse glasshuset først. Vise at mediebransjen er like håpløs som alle andre, sier Jonas Alsaker Vikan.

17. oktober ble sårbarheten demonstrert offentlig da noen brøt seg inn i Dagbladets systemer og endret en sak til å handle om pedofili. Flere av Aller-konsernets nettsider måtte tas av nettet i flere timer.

En av teoriene til politiet er at et lekket passord er årsaken. Hvordan ett passord potensielt kan gi deg tilgang til å påføre enorme konsekvenser, var nettopp noe av det Adressa problematiserte i sin sak syv dager tidligere.

– Saken i Adresseavisen var en av flere påminnelser om hvor viktig sikkerhet i redaksjonen er, sa Dagbladets sjefredaktør Alexandra Beverfjord selv til Adressa.

Strenge retningslinjer for prosjektet

Prosjektet «Lekkelandet» startet egentlig med historien om «Nina», og flere andre kvinner, som opplevde at passord ble stjålet, og det ble gjort innbrudd i deres digitale liv. Sakene «Jakten på Max», «To rop om hjelp» og «Prosjekt Carbon» forteller den utrolige historien i tre deler.

– Da begynte vi å spørre oss selv. Hvis dette kunne ramme disse kvinnene, hvor eksponert er hele samfunnet, sier journalist Vikan.

Han og datajournalist Espen Rasmussen fikk i vår tilgang til en database over 1,4 milliarder brukernavn og passord som er lekket på internett de siste årene.

Materialet har blitt lekket etter flere store datainnbrudd, blant annet i Dropbox, Adobe, LinkedIn og flere andre store selskaper.

Jeg bruker bare å si at jeg jobber med «noen datating». Det er jo et ganske vidt begrep

Espen Rasmussen

Det stjålne materialet utfordret avisen på flere store etiske og juridiske problemstillinger. I samarbeid med sjefredaktør Kirsti Husby ble det satt strenge retningslinjer for hvordan journalistene skulle håndtere dette materialet.

Først og fremst fikk Jonas Alsaker Vikan og Espen Rasmussen krav om strengt hemmelighold om det materialet de satt på.

Selv til egne kolleger.

– Noen ganger er det greit å si som sjefen sier. Det var en trygghet for hele konseptet, sier Vikan.

Det har skapt enkelte reaksjoner internt i redaksjonen, selv om det sjeldent er så mye prat om reportasjer som uansett ikke blir ferdig før flere måneder senere.

– Så det var ikke nytt for meg, sier Vikan.

– Jeg bruker bare å si at jeg jobber med «noen datating». Det er jo et ganske vidt begrep, sier Rasmussen, og ler.

Samtidig ble det satt i gang juridiske utredninger for å avklare lovligheten i å oppbevare materialet.

– Når du primært jobber med undersøkende journalistikk, så blir det etiske en del av opplegget. Det er den samme refleksen vi har i alle andre prosjekt. Vi måtte lære oss noen nye ting denne gangen, slik som GDPR og slikt, sier Vikan.

– Men vanlig logikk tilsier at journalister selvfølgelig kan bruke materiale som er innhentet ulovlig, så lenge det er til journalistisk formål og journalistene ikke selv har bidratt til den ulovlige aktiviteten, fortsetter han.

Dette fikk de også juridisk ryggdekning på.

Lekkasjene var ferdig «vasket»

Materialet er egnet til å føre til store konsekvenser for privatpersoner eller bedrifter. Derfor krevde håndteringen av materialet ekstra stor forsiktighet fra Adressas side.

I tillegg til å bli oppbevart «offline» – på en kryptert minnepinne – ble det satt klare retningslinjer om at det kun var til journalistisk bruk.

– Hvis du skulle se etter noe, så skulle vi sjekke det til en sak, sier Vikan.

Første gang de sjekket databasen kom de over passordet «lutefisk01», som også ble prosjektnavnet i starten. De 1,4 milliardene radene med brukernavn og passord er knyttet til mennesker over hele verden. Derfor skilte journalistene ut alle adresser som kunne knyttes til Norge.

De endte opp på totalt 600.000 norske passordlekkasjer.

– Det skal sies at vi kom litt til dekket bord da vi sjekket dataene. Datasettet var allerede vasket av andre, så derfor fikk vi ikke noe trøbbel med formatering, sier Rasmussen.

«Vasket» betyr at alle dataene, spesielt brukernavn og passord, følger samme regler og derfor lett kan hentes ut i store mengder.

– Materialet er brukt i årevis av hackergrupper, etterretningstjenester, organiserte kriminelle, uten at samfunnet tar innover seg at det eksisterer. Men det var praktisk at vi slapp vaskejobben, sier Vikan.

Fortsatt kan tallet være mye høyere enn 600.000, siden mange nordmenn bruker adresser som «@hotmail.com», «@gmail.com» eller lignende.

Flere saker kommer

10. oktober ble den første reportasjen om de store lekkasjedataene publisert, i samme «Stranger Things»-stil som de tre foregående reportasjene om de som har fått passordet lekket.

– Ingen kunst eksisterer i et vakuum. Det er et konsept de kaller «upside down» i Stranger Things, med parallelle verdener hvor ting ser annerledes ut. Det er en bra metafor for hvordan vi kan vise frem hackere, sa designer Jonas Nilsson selv under et eget foredrag på Data-Skup.

Foreløpig har Adressa-journalistene laget saker på flere bransjer hvor brukernavn og passord er blitt lekket, slik som politiet og mediebransjen. Slike saker er det mulig å lage på alle mulige bransjer.

Akkurat nå jobber de med en større sak opp mot et helseforetak, hvor foretaket sjekker interne systemer om noen av passordene de har funker.

– Det er krise hvis ett av dem funker. Da er det Dagbladet-situasjonen på nytt igjen. Det er journalistisk interessant å få en direkte test av en sektor, sier Vikan.

Helsemyndighetene har stort sett gode retningslinjer for å håndtere personopplysninger, spesielt siden de allerede i dag håndterer pasientjournaler. Likevel stiller Adressa strengere krav. Blant annet kan ingenting foregå over internett, men kun fysisk med minnepinner.

– Vi har laget en databehandleravtale mellom oss og helseforetaket, sier Rasmussen.

Må ha databehandleravtale

Han viser til at alle er pålagt til å gjøre det etter de nye reglene i GDPR.

– Hvis dere bruker Google som Office-system i Journalisten, og du deler mine personopplysninger i Google Docs, har du i realiteten gitt mine opplysninger til Google. For at det skal være lov, så må dere ha en databehandleravtale med Google, forklarer Rasmussen.

– Det er det samme for oss. Vi har en databehandleravtale med sykehuset, hvor det er nøye definert hva de får lov til, og hva de ikke får lov til. Så vi har reist rundt og fått det signert før vi har levert fra oss noe, sier han videre.

De neste ukene kommer konklusjonen på denne saken, og flere andre saker, ut i Adressa.

– Det er fortsatt «work in progress». Vi må komme oss ut og jobbe videre, sier Vikan.

Det er neppe det siste vi ser fra gjengen i Trondheim, selv om mye kun er tilgjengelig bak en «betalingsmur i Trøndelag», slik Vikan selv ofte formulerer det.