En dataläcka är inte en magisk händelse. Det är att någon kopierade en sajts databas och postade den. Och databasen innehöll dig.
01Vad är en dataläcka?
Varje sajt du registrerar dig på sparar en lista över sina användare i en databas. Listan innehåller minst e-post och lösenord (eller hash-versionen av lösenordet — se lektion 1). Ofta också namn, telefon, adress, födelsedatum, IP-adress, kontoinställningar.
När någon "hackar sajten" är det oftast den listan som försvinner. Hela databasen kopieras till angriparens dator. Sedan dyker den upp i hackerforum, byts mellan kriminella, eller används för att göra fler attacker.
Det är inte ditt lösenord som "läcker ut i luften". Det är att hela kundregistret kopierades. Du är en rad i en tabell någonstans, och tabellen har bytt ägare.
02Vad är din info värd?
På darknet-marknader säljs läckta uppgifter. Priserna är obscena lågt — för att utbudet är gigantiskt. Det är därför "ingen vill ha min data" är fel sätt att tänka. Det är inte att de vill ha din specifikt. De vill ha tusen som dig.
E-post + lösenord (från läcka)
Används för credential stuffing — se lektion 6
~0,50 kr/styck
Komplett identitet (namn, adress, personnr.)
För identitetsstöld, kreditbedrägeri
~30–500 kr/styck
Kreditkortsuppgifter med CVV
Färska säljs dyrare, livstid ~några dagar
~50–300 kr/styck
Bankinloggning (med saldo)
~5% av saldot
100–10 000+ kr
Steam/Spotify/Netflix-konto
Lågt värde men säljs i bulk
~5–50 kr/styck
03Klicka på en läcka — se vad som hände
Här är några riktiga läckor som finns kataloglagrade hos Have I Been Pwned. Klicka för att se hur många som drabbades och vad som faktiskt försvann.
LinkedIn
2012
visa
En miljon raden från sajten dök upp på ett ryskt forum i juni 2012. Det skulle visa sig vara början. Fyra år senare, 2016, började någon sälja samma läcka — och då innehöll den 117 miljoner användare, inte en miljon.
Drabbade: 117 miljoner användare
Vad försvann: e-post + SHA-1-hashar utan salt
90 % av lösenorden knäckta: 72 timmar
Adobe
2013
visa
Adobe använde sin egen rariga lösenordskryptering (inte hash) och ALLA användare hade samma kryptering — så om två personer hade samma lösenord blev de identiska i databasen. Plus att lösenord-tipsen sparades i klartext bredvid.
Drabbade: 153 miljoner användare
Vad försvann: e-post, krypterade lösenord, klartext-tips
Hur tipsen avslöjade allt: "my dog's name" + samma kryptering = banalt
Yahoo
2013–2014
visa
Den största enskilda dataläckan i historien. Hela 3 miljarder konton — alla Yahoo hade någonsin haft. Yahoo erkände inte det förrän 2017, och drog ner sitt försäljningspris till Verizon med $350 miljoner.
Drabbade: 3 miljarder konton
Vad försvann: e-post, namn, telefon, lösenord (MD5), säkerhetsfrågor i klartext
Tidigt eller sent: 3 år innan det blev känt
Equifax (kreditupplysning, USA)
2017
visa
Inte ett lösenord-läcka, men förbi-i-allt-annat. Equifax är en av USA:s tre stora kreditupplysningsföretag. De hade information om i stort sett varje vuxen amerikan. En oapplicerad säkerhetspatch ledde till att en angripare laddade ner allt i 76 dagar utan att de märkte.
Drabbade: 147 miljoner amerikaner
Vad försvann: SSN, körkortsnr., födelsedatum, adress
Hur länge attackeraren hade tillträde: 76 dagar
RockYou2021 (sammanslagen lista)
2021
visa
Inte en "läcka" i sig — utan en sammanslagning av alla tidigare läckor till en enda fil på 100 GB. 8,4 miljarder unika lösenord. Tidigare rekordet var 1,4 miljarder (2017). När någon släpper sin RockYou2021.txt blir den standard-ordlistan för alla brute force-attacker globalt — i flera år.
Unika lösenord: 8 459 060 239 stycken
Filstorlek: ~100 GB
Vad det är: en samlad ordlista — inte ny stöld
04Vad gör du om du är med?
Du kan kolla på säkerkoll.se-framsidan (det är vad sajten är till för!) eller direkt på haveibeenpwned.com. Om ditt lösenord visas där:
- Byt det på alla sajter där du använt det.
- Aktivera 2FA på allt som finns (lektion 8).
- Om kreditkortsdata var med — ring banken, spärra kortet.
- Var beredd på phishing-mejl med dina detaljer i (lektion 5).
Det viktigaste: ett lösenord som läckt en gång är aldrig säkert igen. Även om sajten "fixade läckan" är ditt gamla lösenord nu i tusentals listor på internet. Använd det inte ens om sajten säger att den är säker igen.
Data breach är en kategori, inte en händelse. Mekanismen — om det var en SQL injection, en missconfigurerad S3-bucket, en insider, eller ransomware-extortion — avgör vilken information som försvann och hur snabbt den blev användbar.
01Typer av läckor
- Databas-exfiltration: klassiska. SQL injection, RCE i app-lager, eller stulna admin-credentials. Anfallaren laddar ner hela tabeller. Linkedin 2012, Adobe 2013, Yahoo 2013–14, Equifax 2017.
- Misconfigurerad lagring: publika S3-buckets, MongoDB utan auth, ElasticSearch utan firewall. Inte en attack — bara dålig konfiguration. Vanligaste sättet 2019–2023.
- Ransomware-extortion: ny modell sedan ~2020. Anfallarna krypterar inte bara — de exfiltrerar först och hotar publicera. Maze, Conti, LockBit.
- Supply chain: kompromettera en leverantör, träffa hundra kunder. SolarWinds 2020, Kaseya 2021, MOVEit 2023.
- Insider threat: anställd som tar med sig data. Oftast inte upptäckt förrän personen är borta.
- Credential stuffing & combolists: tekniskt inte en "läcka" — istället återanvänder anfallaren gamla läckor för att gissa nya konton. Se lektion 6.
02Vad sparas och vad försvinner
En typisk användarrad i en webbsajt-databas ser ut ungefär såhär:
id · email · password_hash · password_salt · created_at · last_login · ip_last · phone · address · ...
När anfallaren laddar ner tabellen får hen alla rader. Det är därför "vi sparar bara hashar" är fullständigt sant men ofullständigt skydd: alla andra kolumner finns där också. E-post + telefon + adress räcker för phishing eller identitetsspoofing.
Lösenord-kolumnen är där hash-algoritmen blir avgörande:
- Klartext: omedelbar exposure (~0 sek att "knäcka")
- MD5/SHA-1 utan salt: hela databasen knäcks på timmar med en GPU-rigg
- MD5 med salt: varje lösenord måste attackeras separat — men en GPU klarar ~80 miljarder MD5/s
- bcrypt cost 12: ~50 hashar/sek per GPU-tråd → fortfarande långsamt 10 år senare
- argon2id: memory-hard, kostar ~64 MB RAM per försök — gör massiv parallellisering ekonomiskt orimligt
03Lifecykeln för en stulen databas
- Dag 0: Anfallaren har en kopia. Ofta avslöjas det inte — försäljning sker först privat.
- Vecka 1–4: Premiumförsäljning på slutna forum (RaidForums historiskt, BreachForums, Telegram-kanaler). Pris: ~$1000–$50 000 för ett stort dump.
- Månad 1–6: Sprids till medel-tier kriminella. Används aktivt för credential stuffing mot andra sajter.
- År 1+: Hamnar i offentliga "combolists". Slås ihop med andra dumps till megalistor (RockYou2021-stil).
- Forever: Lösenorden där förblir komprometterade. För alltid.
04Have I Been Pwned & k-anonymity
Troy Hunt's HIBP (haveibeenpwned.com) är de facto-katalogen över kända läckor. Pwned Passwords-API exponerar 800+ miljoner unika kompromettade lösenord med en smart privacy-mekanism:
- Klienten beräknar SHA-1 av användarens lösenord (i webbläsaren)
- Skickar bara de första 5 hex-tecknen till HIBP
- HIBP svarar med alla hashar som börjar med de 5 tecknen (~500 stycken)
- Klienten kollar lokalt om resten av sin hash finns i svaret
Resultat: HIBP får aldrig veta vilken hash användaren faktiskt frågade om, bara att någon i världen kollade prefix 5BAA6. Det är samma teknik säkerkoll.se använder på framsidan.
Det är därför du kan kolla "har mitt lösenord läckt?" mot HIBP utan att skicka in lösenordet. Genialt — och en av de bättre tillämpningarna av k-anonymity i konsument-säkerhet.
05Strukturella konsekvenser
För dig som användare innebär den moderna läcke-ekonomin tre praktiska saker:
- Återanvändning är dödlig. Ett lösenord som läckt på en sajt 2014 finns idag i en combolist som testas dagligen mot alla nya sajter (lektion 6).
- E-post som identifierare är problematisk. Den är universellt återanvänd. Aliasstjänster (SimpleLogin, anonaddy, Apple Hide My Email) bryter den länken.
- "Säkerhetsfrågor" är farligare än hjälpsamma. Mammas flicknamn är i SSN-läckorna. Aldrig använd dem som backup.