Hackere afslører 30.000 danske brugere og kodeord fra Sex.dk

15. november 2012 kl. 13:376
Over 30.000 danske profiler på datingsiden Sex.dk er blevet hacket, og brugernavne samt kodeord er offentliggjort på sitet Pastebin.com. Tag det helt roligt, lyder det til brugerne fra folkene bag Sex.dk.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En endnu ukendt hacker har fået adgang til samtlige 30.000 danske brugernavne og kodeord på sexdatingsiden Sex.dk og lagt dem ud på nettet - frit tilgængeligt for alle på den offentlige hjemmeside Pastebin.com. Men sex-profilerne skulle ifølge Bo Jacobsen fra Crock Data, der har ansvaret for driften af sitet, være blokeret kort tid efter, at hackerne lagde passwords ud..

»Vi har blokeret samtlige profiler, så man ikke kan få adgang til dem via de informationer, man kan finde på Pastebin.com. Samtidig har vi generet nye kodeord, som brugerne vil blive bedt om at bruge, næste gang, de logger ind på Sex.dk,« siger Bo Jacobsen til Version2.

Han understreger også, at nuværende brugere ikke skal være nervøse for, at deres profiler har lidt skade eller er blevet misbrugt.

»Der er ikke blevet lækket personfølsomme oplysninger som følge af det her hack. Så vores nuværende brugere kan tage det helt roligt,« fortæller Bo Jacobsen til Version2.

Artiklen fortsætter efter annoncen

Beskeden på Pastebin-siden er underskrevet #anondk, hvilket er kort form for den løst sammensatte hackerbevægelse Anonymous, og kom online torsdag den 15. november. Ifølge Version2's oplysninger har siden været online i hvert fald fra klokken 11.20, med et link til en liste over samtlige brugernavne og passwords på Sex.dk:

  1. We all love sex, and here are 30k who seeks it via sex.dk.
  2.  
  3. [link slettet af Version2]
  4.  
  5. Enjoy anaons
  6.  
  7. #anondk

Hvordan er stadig det store spørgsmål

Bo Jacobsen og folkene bag Sex.dk opdagede selv lækket på Pastebin.com ved en 12-tiden torsdag, og de reagerede straks på hændelsen. Han pointerer også, at sikkerheden på Sex.dk generelt er høj, men alt man sjældent kan gardere sig fuldstændigt.

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« siger Bo Jacobsen.

Crock Data købte i øvrigt domænet sex.dk fra Cybercity i 2009, sammen med en stribe andre meget attraktive webadresser, for et større millionbeløb.

Indtil da havde domænerne lukket ubrugte hen hos Cybercity, som købte dem meget billigt i 1997, netop som det blev muligt at købe domæner frit. Indkøbene førte til beskyldninger om hamstring af domæner, og i 2009 blev Cybercity så nødt til at sælge domænerne videre, da loven blev ændret - netop for at gøre det svært for domænehajer.

6 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
15. november 2012 kl. 17:30

Så vores nuværende brugere kan tage det helt roligt

Hvad hvis en bruger, bruger det samme password 100 andre steder og kun kan huske de 80 af dem. (fordi browseren husker det for ham) Hvis en bruger lægger sag an kan det godt være at dommeren ikke tager så let på sikkerheden når han skal udmåle erstatningen.

6
15. november 2012 kl. 21:32

Hvad hvis en bruger, bruger det samme password 100 andre steder og kun kan huske de 80 af dem. (fordi browseren husker det for ham) Hvis en bruger lægger sag an kan det godt være at dommeren ikke tager så let på sikkerheden når han skal udmåle erstatningen.

Jeg tror at du skal læse lidt op på dansk erstatningsret (erstatning uden for kontrakt, for at være helt præcis).https://www.retssal.dk/?page=emne&id=1677&indexid=27

Hvis din PayPal bliver misbrugt fordi du brugte samme password som på sex.dk, skal du ikke regne med at kunne få erstatning hos sex.dk (manglende årsagssammenhæng, i juridisk forstand).

Men det er utroligt at vi skal blive ved med at høre om den type historier. I andre lande har man lovgivning som forpligter virksomheder til at underrette hver enkelt kunde når der er sket et dataindbrud (som her). Det er sikkert dyrt, og det giver tab af prestige/omdømme, men det giver til gengæld virksomhederne et kraftigt økonomisk incitament til at stramme om på sikkerheden og ansætte kvalificeret personale til at styre deres IT-systemer.

3
15. november 2012 kl. 16:03

Med ca. 30.000 brugernavne og passwords frit tilgængelige på Internettet i mindst 40 minutter, så er det lidt naivt at tro, at andre ikke har haft uautoriseret adgang til personfølsomme oplysninger, med mindre:

  1. Man ikke har adgang til sine egne oplysninger?
  2. Der ikke er nogen, der har logget ind i løbet af de 40 minutter.

Derudover: Clear text passwords? Så er vi meget længere væk fra de 100 procent, end de selv tror de er, og det har ikke meget med clear text passwords at gøre, men mere, at når de ikke har styr på det allermest basale, så har jeg intet tillid til, at de har styr på så meget andet. Det kunne for eksempel være meget interessant at vide, præcist hvordan hackerne fik fat i denne liste.

Og selvom Crock Data nu mener at have sit på det tørre, så er de, i mine øjne, medansvarlige for alle de efterfølgende uautoriserede logins, der uundgåeligt kommer til at foregå til diverse mailkonti o.l.

Jeg ville muligvis have formuleret mig anderledes, hvis de i stedet kom ud sagde "Undskyld, vi har dummet os. Vi vil lære af dette, og bruge penge på at få konsulenter til at identificere sikkerhedsmæssige huller i vores kode".

2
15. november 2012 kl. 15:20

Ja, det lyder bestemt ikke som om de har gjort hvad de kunne...

1
15. november 2012 kl. 15:10

Hvordan mon de fik fat i passwords til alle brugerne? Mon de var opbevaret i klartekst?

I så fald, runger nedenstående citat lidt hult:

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« siger Bo Jacobsen