Datingchef indrømmer: Brugernavne og kodeord på Sex.dk kan være blevet misbrugt

16. november 2012 kl. 13:476
Chefen for datingsitet Sex.dk indrømmer, at sikkerheden på sitet har været for lav. Han kan ikke garantere, at 30.000 danske brugernavne og kodeord ikke er blevet misbrugt efter torsdagens hackerangreb.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Chefen for det hackerramte datingsite Sex.dk, Bo Jacobsen, erkender nu, at sikkerheden på hjemmesiden har været alt for ringe. Samtidig kan han ikke garantere brugerne, at deres login-oplysninger ikke er blevet misbrugt.

Indrømmelsen kommer efter torsdagens hackerangreb, hvor flere end 30.000 brugernavne og kodeord fra Sex.dk blev stjålet af hackere og lagt ud til offentlig skue på hjemmesiden Pastebin.com.

Det er nye toner fra Bo Jacobsen, der torsdag over for Version2 slog fast, at man skam havde gjort, hvad man kunne for at sikre sig mod den slags angreb.

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« sagde Sex.dk-chefen torsdag.

Artiklen fortsætter efter annoncen

Han ændrer nu mening, efter at sikkerhedskonsulent fra CSIS Peter Kruse har beskrevet hackerangrebet som et af danmarkshistoriens største og i øvrigt stillet sig tvivlende over for sikkerheden på Sex.dk.

I dag siger Bo Jacobsen til Version2:

»Vi indrømmer blankt, at Peter Kruses vurdering desværre er rigtig. Det undskylder vi mange gange, og desværre er skaden sket. Men for mig at se er der altså stadig ikke tale om personfølsomme oplysninger. En garanti for, at brugernavne og koder ikke teoretisk set kan være blevet misbrugt, vil jeg dog ikke give dig. For det kan desværre være tilfældet,« siger Sex.dk-chefen.

Hvad har I fundet ud af siden i går, torsdag?

Artiklen fortsætter efter annoncen

»Det ligner en såkaldt SQL-injection, der desværre har udnyttet håndteringen af brugerinput og databasekald på Sex.dk. Jeg vil ikke gå mere konkret ind i det, men vi er ret sikre på, at sikkerhedsbristen ligger der.«

Men hvad har I konkret gjort for at beskytte jeres servere og dermed jeres brugere, så de ikke skal være nervøse over på det her?

»Jeg vil ikke sige andet, at vi har forbedret sikkerheden siden i går. Desuden har vi overvåget de brugerprofiler, hvor der kan have være trafik, som ikke er skabt af den rigtige bruger. De mennesker har vi kontaktet på email.«

Hvad hvis man som bruger på Sex.dk ikke har tjekket sin email?

Artiklen fortsætter efter annoncen

»Jeg synes, vi har gjort, hvad vi kunne for at oplyse de berørte brugere. Andet kan jeg ikke sige.«

Men hvorfor oplyser I ikke brugerne og hackerangrebet på jeres hjemmeside, så de bliver holdt ajour med, hvad I gør i sagen?

»Det vil jeg på baggrund af det her også klart overveje.«

Hvordan kan man som nuværende bruger eller kommende bruger stole på, at ens oplysninger er i sikkerhed hos Sex.dk?

»Fordi sikkerheden er forbedret, og at nye passwords er genereret til samtlige brugere. Jeg kommer det ikke nærmere.«

Da vi talte sammen i går torsdag, nævnte du, at I greb ind over for angrebet omkring middagstid. Men ifølge vores oplysninger lå brugeroplysningerne allerede på Pastebin lidt over 11. Hvorfor reagerede I ikke hurtigere?

»Vi har simpelthen ikke været opmærksom på det. Men så snart vi fik nys om, at der var brudt ind Sex.dk, reagerede vi inden for tre minutter.«

Hvordan har I sikret jer, at det her ikke kan ske igen?

»Igen kan jeg ikke gå i deltaljer, men vi har garderet os. Andet vil jeg ikke sige nu.«

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
17. november 2012 kl. 16:38

Til at se det omtalte på pastebin nogen steder. Jeg kan ikke finde det

4
17. november 2012 kl. 11:41
  1. gem passwords krypteret
  2. brug prepared statements til database access aht. SQL injections

EDIT: med krypteret menes envejs-kryptering (uanset hvordan Sune vælger at fortolke det)

6
17. november 2012 kl. 16:54

gem passwords crypteret

Nej, passwords skal ikke gemmes krypteret - der skal gemmes en hash af passwordet. Med per-user salt. Og helst med bcrypt eller scrypt.

3
16. november 2012 kl. 19:05

»Igen kan jeg ikke gå i deltaljer, men vi har garderet os. Andet vil jeg ikke sige nu.«

Ikke godt nok.

Som et minimum burde han sige "alle bruger-logins er disablet indtil der klikkes på password-reset link i de undskyldende & forklarende mails vi har sendt ud til samtlige brugere, og fremover benyttes der bcrypt til password-feltet i brugerdatabasen. Vi har ydermeret fundet & rettet den konkrete SQL injection fejl, og har derudover hyret konsulenter med ekspertise i sikkerhed til at lave review af vores kodebase."

Hvilket naturligvis ikke vil ske. Too bad at fordommen om at sådan et site bliver drevet af sleazebags (endnu en gang) er blevet bekræftet.

1
16. november 2012 kl. 14:15

Jeg kan ikke komme det nærmere == Vi har ikke rettet noget som helst endnu, men det lyder så dumt.

Følgende domæner har samme registrant ved dk-hostmaster, som sex.dk.

bannersale.dk brokdating.dk camblogs.dk chat.dk escortdating.dk ferie.dk gratissexdating.dk iq.dk jagtnet.dk kontakt.dk lej-film.dk lejpornofilm.dk lejsexfilm.dk livecamz.dk mcnewz.dk mobillogo.dk motorcykler.dk museum.dk net-jagt.dk netjagt.dk nummerlet.dk porno.dk pornodanmark.dk pornodating.dk pornoklip.dk privatfesten.dk rejser.dk sex.dk sexdating.dk sexlinker.dk sladder.dk spedition.dk spottingme.dk spottingyou.dk sundating.dk teleteamwork.dk transport.dk turisme.dk videoupload.dk vvsbillig.dk

Indtil deres direktør kan kommentere den øgede sikkerhed nærmere, bør man holde nallerne fra disse sider, eller i det mindste bruger pseudonavn samt en til formålet oprettet email-addresse, med random password.