Hackere afslører 30.000 danske brugere og kodeord fra Sex.dk

Hacking15. november 2012 kl. 13:376

Over 30.000 danske profiler på datingsiden Sex.dk er blevet hacket, og brugernavne samt kodeord er offentliggjort på sitet Pastebin.com. Tag det helt roligt, lyder det til brugerne fra folkene bag Sex.dk.

person

Henrik Nordstrøm Mortensen

Artiklen er ældre end 30 dage

Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

person

Henrik Nordstrøm Mortensen

En endnu ukendt hacker har fået adgang til samtlige 30.000 danske brugernavne og kodeord på sexdatingsiden Sex.dk og lagt dem ud på nettet - frit tilgængeligt for alle på den offentlige hjemmeside Pastebin.com. Men sex-profilerne skulle ifølge Bo Jacobsen fra Crock Data, der har ansvaret for driften af sitet, være blokeret kort tid efter, at hackerne lagde passwords ud..

»Vi har blokeret samtlige profiler, så man ikke kan få adgang til dem via de informationer, man kan finde på Pastebin.com. Samtidig har vi generet nye kodeord, som brugerne vil blive bedt om at bruge, næste gang, de logger ind på Sex.dk,« siger Bo Jacobsen til Version2.

Han understreger også, at nuværende brugere ikke skal være nervøse for, at deres profiler har lidt skade eller er blevet misbrugt.

»Der er ikke blevet lækket personfølsomme oplysninger som følge af det her hack. Så vores nuværende brugere kan tage det helt roligt,« fortæller Bo Jacobsen til Version2.

Artiklen fortsætter efter annoncen

Beskeden på Pastebin-siden er underskrevet #anondk, hvilket er kort form for den løst sammensatte hackerbevægelse Anonymous, og kom online torsdag den 15. november. Ifølge Version2's oplysninger har siden været online i hvert fald fra klokken 11.20, med et link til en liste over samtlige brugernavne og passwords på Sex.dk:

We all love sex, and here are 30k who seeks it via sex.dk.
 
[link slettet af Version2]
 
Enjoy anaons
 
#anondk

Hvordan er stadig det store spørgsmål

Bo Jacobsen og folkene bag Sex.dk opdagede selv lækket på Pastebin.com ved en 12-tiden torsdag, og de reagerede straks på hændelsen. Han pointerer også, at sikkerheden på Sex.dk generelt er høj, men alt man sjældent kan gardere sig fuldstændigt.

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« siger Bo Jacobsen.

Crock Data købte i øvrigt domænet sex.dk fra Cybercity i 2009, sammen med en stribe andre meget attraktive webadresser, for et større millionbeløb.

Indtil da havde domænerne lukket ubrugte hen hos Cybercity, som købte dem meget billigt i 1997, netop som det blev muligt at købe domæner frit. Indkøbene førte til beskyldninger om hamstring af domæner, og i 2009 blev Cybercity så nødt til at sælge domænerne videre, da loven blev ændret - netop for at gøre det svært for domænehajer.

Emner

Hacking

Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnement Få prøveabonnement

Jobs

Dine job

Vis alle

Fortsæt din læsning

Debatten

Log ind eller opret en bruger for at deltage i debatten.

settingsDebatindstillinger

Følg denne debat

Carsten Olsen

15. november 2012 kl. 17:30

Så vores nuværende brugere kan tage det helt roligt

Hvad hvis en bruger, bruger det samme password 100 andre steder og kun kan huske de 80 af dem. (fordi browseren husker det for ham) Hvis en bruger lægger sag an kan det godt være at dommeren ikke tager så let på sikkerheden når han skal udmåle erstatningen.

more_vert
- insert_linkKopier link

Jesper Lund

15. november 2012 kl. 21:32

Hvad hvis en bruger, bruger det samme password 100 andre steder og kun kan huske de 80 af dem. (fordi browseren husker det for ham) Hvis en bruger lægger sag an kan det godt være at dommeren ikke tager så let på sikkerheden når han skal udmåle erstatningen.

Jeg tror at du skal læse lidt op på dansk erstatningsret (erstatning uden for kontrakt, for at være helt præcis).https://www.retssal.dk/?page=emne&id=1677&indexid=27

Hvis din PayPal bliver misbrugt fordi du brugte samme password som på sex.dk, skal du ikke regne med at kunne få erstatning hos sex.dk (manglende årsagssammenhæng, i juridisk forstand).

Men det er utroligt at vi skal blive ved med at høre om den type historier. I andre lande har man lovgivning som forpligter virksomheder til at underrette hver enkelt kunde når der er sket et dataindbrud (som her). Det er sikkert dyrt, og det giver tab af prestige/omdømme, men det giver til gengæld virksomhederne et kraftigt økonomisk incitament til at stramme om på sikkerheden og ansætte kvalificeret personale til at styre deres IT-systemer.

more_vert
- insert_linkKopier link

Jakob Møbjerg Nielsen

15. november 2012 kl. 16:03

Med ca. 30.000 brugernavne og passwords frit tilgængelige på Internettet i mindst 40 minutter, så er det lidt naivt at tro, at andre ikke har haft uautoriseret adgang til personfølsomme oplysninger, med mindre:

Man ikke har adgang til sine egne oplysninger?
Der ikke er nogen, der har logget ind i løbet af de 40 minutter.

Derudover: Clear text passwords? Så er vi meget længere væk fra de 100 procent, end de selv tror de er, og det har ikke meget med clear text passwords at gøre, men mere, at når de ikke har styr på det allermest basale, så har jeg intet tillid til, at de har styr på så meget andet. Det kunne for eksempel være meget interessant at vide, præcist hvordan hackerne fik fat i denne liste.

Og selvom Crock Data nu mener at have sit på det tørre, så er de, i mine øjne, medansvarlige for alle de efterfølgende uautoriserede logins, der uundgåeligt kommer til at foregå til diverse mailkonti o.l.

Jeg ville muligvis have formuleret mig anderledes, hvis de i stedet kom ud sagde "Undskyld, vi har dummet os. Vi vil lære af dette, og bruge penge på at få konsulenter til at identificere sikkerhedsmæssige huller i vores kode".

more_vert
- insert_linkKopier link

Maciej Szeliga

15. november 2012 kl. 16:37

Med ca. 30.000 brugernavne og passwords frit tilgængelige på Internettet i mindst 40 minutter, så er det lidt naivt at tro, at andre ikke har haft uautoriseret adgang til personfølsomme oplysninger, med mindre:

Hvilke "personfølsomme oplysninger" kan man have lagt ud på en dating side ? "Nuser (direktør) er født i vandmandens tegn og foretrækker at damen er en smule dominerende" ?

more_vert
- insert_linkKopier link

Leonard Kramer

15. november 2012 kl. 15:20

Ja, det lyder bestemt ikke som om de har gjort hvad de kunne...

more_vert
- insert_linkKopier link

Daniel Gertsen

15. november 2012 kl. 15:10

Hvordan mon de fik fat i passwords til alle brugerne? Mon de var opbevaret i klartekst?

I så fald, runger nedenstående citat lidt hult:

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« siger Bo Jacobsen

more_vert
- insert_linkKopier link

Hackere afslører 30.000 danske brugere og kodeord fra Sex.dk

Hvordan er stadig det store spørgsmål

Jobs

Fortsæt din læsning

Omfattende cyberangreb rammer blandt andet BBC og British Airways

Kundedata stjålet under cyberangreb på Western Digital

Hent Profilanalysen og årets ranglister

Amerikansk ministerium opdagede Solarwinds-hacket måneder før, det blev offentligt kendt

Professionshøjskole lukker systemer ned efter hackerangreb

Tre personer anholdt i Danmark under international cyber-operation