Moltbook-lækage viser en overset risiko: adgangsnøgler på afveje
En sikkerhedsbrist hos Moltbook – en platform med digitale assistenter drevet af kunstig intelligens – har ifølge flere medier eksponeret store mængder følsomme oplysninger. Det drejer sig blandt andet om ca. 1,5 mio. adgangsnøgler til integrationer, e-mailadresser i tusindvis og private beskeder.
API – en teknisk forbindelse mellem systemer. En API-nøgle er en adgangsnøgle til den forbindelse. Når sådanne nøgler lækkes, kan de i værste fald bruges til at tilgå eller misbruge de tjenester og systemer, nøglerne giver adgang til.
Kort fortalt
- En fejl i opsætningen gjorde, at uvedkommende kunne tilgå data, fordi en klientnøgle lå synligt i browser-kode, og databasen manglede nødvendig adgangskontrol.
- Omfanget omtales som ca. 1,5 mio. adgangsnøgler samt e-mailadresser og private beskeder.
- Antallet af eksponerede e-mailadresser varierer i omtalen (omtrent 6.000 til 35.000 afhængigt af kilde).
- Ifølge 404 Media blev hullet lukket hurtigt efter ansvarlig rapportering.
Bemærkning: Wiz’ oprindelige blogindlæg kunne ikke tilgås af vores researchværktøj (403). Artiklen bygger derfor på sekundære kilder, som refererer til Wiz’ analyse.
Hvad betyder det for danske virksomheder?
Sagen rammer ind i en meget dansk virkelighed: Vi kobler hurtigt nye tredjepartstjenester på — også i løsninger med kunstig intelligens — for at spare tid og få mere ud af data. Men hver gang en ekstern platform får en adgangsnøgle, flytter du en del af din sikkerhed ud til leverandøren.
Konsekvensen er ikke kun “der lækker noget fra dem”. Det kan også blive et problem for jer, hvis en lækket nøgle giver adgang til jeres egne systemer, eller hvis lækkede e-mails bruges til målrettede svindelforsøg mod medarbejdere.
Derudover: Hvis persondata (fx e-mails eller beskedindhold) er berørt, kan der være krav om vurdering og eventuel anmeldelse efter GDPR. Det er især relevant, hvis platformen bruges i arbejdssammenhæng eller med kundeoplysninger.
Det kan du gøre nu
- Rotér og spær adgangsnøgler: Udskift nøgler, der kan være brugt i Moltbook eller lignende platforme, og luk de gamle hos de relevante udbydere.
- Tjek logfiler og alarmer: Se efter usædvanlige kald/adgange på de systemer, nøglerne giver adgang til (gerne med fokus på nye IP-adresser, tidsrum uden for normal drift og mange kald på kort tid).
- Stil konkrete leverandørkrav: Bed om dokumentation for adgangskontrol, håndtering af adgangsnøgler og sikkerhedstest — og få det ind i jeres leverandørstyring.
- Advar mod phishing: Informér relevante medarbejdere om øget risiko for målrettede svindelmails, hvis e-mailadresser kan være lækket.
- Tag GDPR/juridisk sparring: Få jeres databeskyttelsesrådgiver eller jurist til at vurdere, om hændelsen berører jer, og hvad I skal dokumentere og eventuelt anmelde.
Kilder
- https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys
- https://www.404media.co/exposed-moltbook-database-let-anyone-take-control-of-any-ai-agent-on-the-site
- https://www.techradar.com/pro/security/ai-agent-social-media-network-moltbook-is-a-security-disaster-millions-of-credentials-and-other-details-left-unsecured
- https://www.businessinsider.com/moltbook-ai-agent-hack-wiz-security-email-database-2026-2
- (Baggrund/uddybning) https://www.securityweek.com/security-analysis-of-moltbook-agent-network-bot-to-bot-prompt-injection-and-data-leaks/
🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.
Læs original kilde →Fandt du en fejl?