Pas på: Utroskabs-datingtjeneste er usikker

14 kommentarer.  Hop til debatten
Den meget omtalte datingtjeneste for folk i forhold overholder ikke basale it-sikkerhedsregler. Og der er oplagte muligheder for afpresning, siger it-chef, der har testet tjenesten.
person
8. juni 2011 kl. 10:21
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Er dit forhold lidt for kedeligt, så få en affære gennem datingtjenesten Victoria Milan.

Sådan bliver danskerne i øjeblikket lokket af en ny datingtjeneste, men før man kaster sig ud i et sidespring gennem websiden, skal man være klar over, at der er store huller i sikkerheden.

Det skriver Per Palmkvist Knudsen, it-chef i JP/Politikens Hus, som har testet tjenesten - i videnskabens navn og efter aftale med sin kone, i øvrigt.

Victoria Milan reklamerer med, at det er 100 procent fortroligt at bruge tjenesten. Men når man skal logge ind, sker det ikke via en krypteret forbindelse, men over standard http, hvilket betyder, at alle servere, som trafikken bevæger sig over, kan aflure ens brugernavn og password.

Artiklen fortsætter efter annoncen

Når man opretter sig, får man også tilsendt en e-mail med det selvvalgte kodeord i klartekst, hvilket også er i strid med al god praksis på området. Det tyder også på, at brugernes passwords er dårligt beskyttet hos datingtjenesten, så en hacker kunne få fat i alle passwords på én gang.

Er man bekymret for at blive afsløret af sin faste partner, skal man også vide, at der bliver efterladt masser af spor på computeren, når man besøger websiden - hvilket i øvrigt gælder for de fleste websider. Det kan selvfølgeligt afhjælpes ved at slette alle spor i browseren eller kun besøge websiden med Private Browsing og lignende tricks.

Da antallet af mænd på jagt efter en affære er mange gange højere end antallet af kvinder - forholdet var 1 til 10 i den søgning, Per Palmkvist foretog - er en utroskabstjeneste også et oplagt sted for it-kriminelle at forsøge sig med afpresning, vurderer it-chefen.

Ved at oprette en profil med en smuk kvinde og tale mænd efter munden, kan man let få ofrene til at klikke på links, der installerer malware. Og med fuld kontrol over deres computer, samt beviser for, at manden prøver at være sin kone utro, sidder ofret i saksen og er gode mål for afpresning, mener Per Palmkvist Knudsen.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Fænomenet er i øvrigt ikke noget, han selv har fundet på. En kvindelig medarbejder i JP/Politikens Hus har således været udsat for den type afpresning, da en hacker stjal pinlige billeder fra hendes computer og forlangte penge for ikke at offentliggøre dem.

14 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
15
Lars Sommer
19. august 2011 kl. 13:36

Hvor mange muligheder er der så for injections og xss i sitet? ,-)

  • more_vert
    • insert_linkKopier link
3
Jonas Nyrup
8. juni 2011 kl. 11:33

Jeg ved ikke hvornår det er blevet god praksis at kryptere kodeord, men jeg har fået en del mails gennem tiden med mit kodeord i klar tekst.

Jeg har 45 mails siden 2003 der indeholder mit kodeord i klar tekst. 14 af dem hævder at kodeordet er krypteret (heraf 9 fra phpBB-baserede fora)

Hvordan kan det hænge sammen?

  • more_vert
    • insert_linkKopier link
11
Mikkel Høgh
9. juni 2011 kl. 12:52

Det er som du siger meget normalt at få koden tilsendt pr. mail, og det er ikke ensbetydende med at din kode ikke er sendt sikkert.

Drupal, som jeg arbejder med, giver som standard ikke mulighed for selv at vælge en kode, og tilsender brugeren et genereret password pr. mail. Dette password gemmes dog ikke i klar tekst, men det findes jo i hukommelsen for den HTTP request der opretter din bruger og sender mail'en ud. Det forsvinder jo så i takt med at den hukommelse bliver brugt til noget andet…

  • more_vert
    • insert_linkKopier link
10
Henrik Høyer
8. juni 2011 kl. 14:49

Der er mange der laver sådanne fejl. phpFora er kendste for ikke at være de meste sikre, der er masser af eksempler gennem tiden på simple hacks mod disse.

  • more_vert
    • insert_linkKopier link
5
Andreas Olsen
8. juni 2011 kl. 13:32

Når man logger ind på Version2.dk er afgivelsen af brugernavn og kode heller ikke krypteret - hvornår bilver det fikset, så min brugerident ikke anvendes til flamebait i Microsoft vs. linux/oss debatter ;-)

  • more_vert
    • insert_linkKopier link
6
Henrik Høyer
8. juni 2011 kl. 13:36

LOL, det vil jo kræve at V2's server svarer på port 443 - men sådanne ting kan man da ikke forvente af et IT medie, eller.....

  • more_vert
    • insert_linkKopier link
7
Karsten Nyblad
8. juni 2011 kl. 14:13

Så vidt jeg kan se, behøver det ukrypterede password ikke ligge på webserveren, selv om man kan få det tilsendt. Passwordet kan ligge gemt på backoffice systemerne. Selv der kunne det være krypteret med et kodeord, som selvfølgelig skal være kendt af sitet IT-folk.

Når en bruger beder om at få tilsendt sit password, skal websiten så bede backoffice systemet om at sende det. Så er vi vist efterhånden oppe på en rimelig sikkerhed.

  • more_vert
    • insert_linkKopier link
9
Henrik Høyer
8. juni 2011 kl. 14:43

@Karsten Nyblad Nej, nej nej. Man må ikke kunne genskabe passwordet i clear tekst (ingen må kunne dette, hverken "systemetne" eller personer). Dette er en dødssynd omkring håntering af passwords.

Du skal nok læse lidt op på sagen....

  • more_vert
    • insert_linkKopier link
4
Henrik Høyer
8. juni 2011 kl. 13:31

Hvis de kan sende dig dit selvvalgte kodeord i clear tekst, så har de en sikkerhedsmæssig designfejl i deres system. Og dem har laver denne fejl laver typisk også den fejl at gemme det i cleartekst i deres database.

  • more_vert
    • insert_linkKopier link
8
Benjamin Kristensen
8. juni 2011 kl. 14:13

har lige oprettet en bruger, for at se hvordan de håndterer passwords, og det viser sig at når man har "glemt" sit password, så får man tilsendt et nulstilnings link, så enten har de ikke adgang til dit password i cleartext eller også viser de det bare ikke...

det virker også lidt uproffesionelt når der i aktiverings mailen står:

"Du kan bruge følgende loginoplysninger når Victoria Milan er lanceret: "

for det er da min overbevisning at det allerede er lanceret.

  • more_vert
    • insert_linkKopier link
1
Poul-Henning Kamp
8. juni 2011 kl. 11:11

Lyder det ikke lidt som om personerne bag denne site prøver at skaffe bedre plads i gen-pool'en ? :-)

  • more_vert
    • insert_linkKopier link
2
Jens Beltofte
8. juni 2011 kl. 11:30

Når man opretter sig, får man også tilsendt en e-mail med det selvvalgte kodeord i klartekst, hvilket også er i strid med al god praksis på området. Det tyder også på, at brugernes passwords er dårligt beskyttet hos datingtjenesten, så en hacker kunne få fat i alle passwords på én gang.

Bare fordi brugerens password sendes efter registrering i en e-mail er det da ikke ensbetydende med, at de gemmer deres passwords i klar tekst eller at en hacker kan få adgang til dem alle på én gang. Enig i at det er dårlig praksis at sende password'et til brugeren pr. e-mail når de selv har valgt det, men derfor kan passwords sagtens være gemt som en hash eller krypteret i systemet. Per Palmkvist kunne jo undersøge det lidt videre ved, at benytte glemt password funktionen. Hvis han får det oprindelige kodeord tilsendt pr. mail igen er det enten gemt som klar tekst eller i et dekrypter bart format.

  • more_vert
    • insert_linkKopier link