Datingchef indrømmer: Brugernavne og kodeord på Sex.dk kan være blevet misbrugt

Illustration: Virrage Images/Bigstock
Chefen for datingsitet Sex.dk indrømmer, at sikkerheden på sitet har været for lav. Han kan ikke garantere, at 30.000 danske brugernavne og kodeord ikke er blevet misbrugt efter torsdagens hackerangreb.

Chefen for det hackerramte datingsite Sex.dk, Bo Jacobsen, erkender nu, at sikkerheden på hjemmesiden har været alt for ringe. Samtidig kan han ikke garantere brugerne, at deres login-oplysninger ikke er blevet misbrugt.

Indrømmelsen kommer efter torsdagens hackerangreb, hvor flere end 30.000 brugernavne og kodeord fra Sex.dk blev stjålet af hackere og lagt ud til offentlig skue på hjemmesiden Pastebin.com.

Det er nye toner fra Bo Jacobsen, der torsdag over for Version2 slog fast, at man skam havde gjort, hvad man kunne for at sikre sig mod den slags angreb.

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« sagde Sex.dk-chefen torsdag.

Han ændrer nu mening, efter at sikkerhedskonsulent fra CSIS Peter Kruse har beskrevet hackerangrebet som et af danmarkshistoriens største og i øvrigt stillet sig tvivlende over for sikkerheden på Sex.dk.

I dag siger Bo Jacobsen til Version2:

»Vi indrømmer blankt, at Peter Kruses vurdering desværre er rigtig. Det undskylder vi mange gange, og desværre er skaden sket. Men for mig at se er der altså stadig ikke tale om personfølsomme oplysninger. En garanti for, at brugernavne og koder ikke teoretisk set kan være blevet misbrugt, vil jeg dog ikke give dig. For det kan desværre være tilfældet,« siger Sex.dk-chefen.

Hvad har I fundet ud af siden i går, torsdag?

»Det ligner en såkaldt SQL-injection, der desværre har udnyttet håndteringen af brugerinput og databasekald på Sex.dk. Jeg vil ikke gå mere konkret ind i det, men vi er ret sikre på, at sikkerhedsbristen ligger der.«

Men hvad har I konkret gjort for at beskytte jeres servere og dermed jeres brugere, så de ikke skal være nervøse over på det her?

»Jeg vil ikke sige andet, at vi har forbedret sikkerheden siden i går. Desuden har vi overvåget de brugerprofiler, hvor der kan have være trafik, som ikke er skabt af den rigtige bruger. De mennesker har vi kontaktet på email.«

Hvad hvis man som bruger på Sex.dk ikke har tjekket sin email?

»Jeg synes, vi har gjort, hvad vi kunne for at oplyse de berørte brugere. Andet kan jeg ikke sige.«

Men hvorfor oplyser I ikke brugerne og hackerangrebet på jeres hjemmeside, så de bliver holdt ajour med, hvad I gør i sagen?

»Det vil jeg på baggrund af det her også klart overveje.«

Hvordan kan man som nuværende bruger eller kommende bruger stole på, at ens oplysninger er i sikkerhed hos Sex.dk?

»Fordi sikkerheden er forbedret, og at nye passwords er genereret til samtlige brugere. Jeg kommer det ikke nærmere.«

Da vi talte sammen i går torsdag, nævnte du, at I greb ind over for angrebet omkring middagstid. Men ifølge vores oplysninger lå brugeroplysningerne allerede på Pastebin lidt over 11. Hvorfor reagerede I ikke hurtigere?

»Vi har simpelthen ikke været opmærksom på det. Men så snart vi fik nys om, at der var brudt ind Sex.dk, reagerede vi inden for tre minutter.«

Hvordan har I sikret jer, at det her ikke kan ske igen?

»Igen kan jeg ikke gå i deltaljer, men vi har garderet os. Andet vil jeg ikke sige nu.«

Læs også: Hackere afslører 30.000 danske brugere og kodeord fra Sex.dk

Læs også: Hackerafsløring af 30.000 danske sex-kodeord er 'en af danmarkshistoriens største'

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benjamin Krogh

Jeg kan ikke komme det nærmere == Vi har ikke rettet noget som helst endnu, men det lyder så dumt.

Følgende domæner har samme registrant ved dk-hostmaster, som sex.dk.

bannersale.dk brokdating.dk camblogs.dk chat.dk escortdating.dk ferie.dk gratissexdating.dk iq.dk jagtnet.dk kontakt.dk lej-film.dk lejpornofilm.dk lejsexfilm.dk livecamz.dk mcnewz.dk mobillogo.dk motorcykler.dk museum.dk net-jagt.dk netjagt.dk nummerlet.dk porno.dk pornodanmark.dk pornodating.dk pornoklip.dk privatfesten.dk rejser.dk sex.dk sexdating.dk sexlinker.dk sladder.dk spedition.dk spottingme.dk spottingyou.dk sundating.dk teleteamwork.dk transport.dk turisme.dk videoupload.dk vvsbillig.dk

Indtil deres direktør kan kommentere den øgede sikkerhed nærmere, bør man holde nallerne fra disse sider, eller i det mindste bruger pseudonavn samt en til formålet oprettet email-addresse, med random password.

  • 0
  • 0
Sune Marcher

»Igen kan jeg ikke gå i deltaljer, men vi har garderet os. Andet vil jeg ikke sige nu.«

Ikke godt nok.

Som et minimum burde han sige "alle bruger-logins er disablet indtil der klikkes på password-reset link i de undskyldende & forklarende mails vi har sendt ud til samtlige brugere, og fremover benyttes der bcrypt til password-feltet i brugerdatabasen. Vi har ydermeret fundet & rettet den konkrete SQL injection fejl, og har derudover hyret konsulenter med ekspertise i sikkerhed til at lave review af vores kodebase."

Hvilket naturligvis ikke vil ske. Too bad at fordommen om at sådan et site bliver drevet af sleazebags (endnu en gang) er blevet bekræftet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere