I forrige uke fikk innbyggerne i Tyskland vite om et stort tilfelle av ID-ran. Under en etterforskning av botnett, ble det avdekket lister av kaprede e-postadresser og passord til ulike nettjenester. Listene omfattet 16 millioner brukere, hvorav halvparten med e-postadresser i det tyske nasjonaldomenet .de, ifølge det nasjonale tyske organet for IT-sikkerhet BSI (Bundesamt für Sicherheit in der Informationstechnik).
For å hjelpe de opptil 16 millioner ofrene, opprettet BSI et eget nettsted, BSI-Sicherheitstest. Brukere oppgir en e-postadresse. Dersom adressen er blant de 16 millioner, sender BSI dem en PGP-signert e-post som bekrefter tilfellet. E-posten inneholder ellers råd om hvordan den aktuelle botnettsmitten kan fjernes, og en anbefaling om å endre alle passord i alle kontoer.
Tjenesten fordrer at brukeren lar BSI samle personlige opplysninger. BSI forsikrer at alle slike slettes når brukeren har fått sin tilbakemelding.
Det er sparsomt med detaljer rundt selve botnettene. Det antydes at ondsinnet kode er tilført ofrene gjennom alminnelig surfing, og at det er benyttet avanserte metoder, for eksempel tasteregistrering, for å fange opp passord.
EU-organet for IT-sikkerhet, Enisa, sier i en kommentar at alle som tilbyr tjenester der følsom informasjon inngår i transaksjoner – det vil si banker, offentlige organer og nettilbydere – må sørge for å håndheve regler om sterke passord, slik at systemene nekter bruker å benytte seg av svake passord.
Enisa ber videre om at offentlige myndigheter tilbyr opplæring i hvordan man bygger sterke passord.