Pas på: Utroskabs-datingtjeneste er usikker

Den meget omtalte datingtjeneste for folk i forhold overholder ikke basale it-sikkerhedsregler. Og der er oplagte muligheder for afpresning, siger it-chef, der har testet tjenesten.

Er dit forhold lidt for kedeligt, så få en affære gennem datingtjenesten Victoria Milan.

Sådan bliver danskerne i øjeblikket lokket af en ny datingtjeneste, men før man kaster sig ud i et sidespring gennem websiden, skal man være klar over, at der er store huller i sikkerheden.

Det skriver Per Palmkvist Knudsen, it-chef i JP/Politikens Hus, som har testet tjenesten - i videnskabens navn og efter aftale med sin kone, i øvrigt.

Victoria Milan reklamerer med, at det er 100 procent fortroligt at bruge tjenesten. Men når man skal logge ind, sker det ikke via en krypteret forbindelse, men over standard http, hvilket betyder, at alle servere, som trafikken bevæger sig over, kan aflure ens brugernavn og password.

Når man opretter sig, får man også tilsendt en e-mail med det selvvalgte kodeord i klartekst, hvilket også er i strid med al god praksis på området. Det tyder også på, at brugernes passwords er dårligt beskyttet hos datingtjenesten, så en hacker kunne få fat i alle passwords på én gang.

Er man bekymret for at blive afsløret af sin faste partner, skal man også vide, at der bliver efterladt masser af spor på computeren, når man besøger websiden - hvilket i øvrigt gælder for de fleste websider. Det kan selvfølgeligt afhjælpes ved at slette alle spor i browseren eller kun besøge websiden med Private Browsing og lignende tricks.

Da antallet af mænd på jagt efter en affære er mange gange højere end antallet af kvinder - forholdet var 1 til 10 i den søgning, Per Palmkvist foretog - er en utroskabstjeneste også et oplagt sted for it-kriminelle at forsøge sig med afpresning, vurderer it-chefen.

Ved at oprette en profil med en smuk kvinde og tale mænd efter munden, kan man let få ofrene til at klikke på links, der installerer malware. Og med fuld kontrol over deres computer, samt beviser for, at manden prøver at være sin kone utro, sidder ofret i saksen og er gode mål for afpresning, mener Per Palmkvist Knudsen.

Fænomenet er i øvrigt ikke noget, han selv har fundet på. En kvindelig medarbejder i JP/Politikens Hus har således været udsat for den type afpresning, da en hacker stjal pinlige billeder fra hendes computer og forlangte penge for ikke at offentliggøre dem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Beltofte

Når man opretter sig, får man også tilsendt en e-mail med det selvvalgte kodeord i klartekst, hvilket også er i strid med al god praksis på området. Det tyder også på, at brugernes passwords er dårligt beskyttet hos datingtjenesten, så en hacker kunne få fat i alle passwords på én gang.

Bare fordi brugerens password sendes efter registrering i en e-mail er det da ikke ensbetydende med, at de gemmer deres passwords i klar tekst eller at en hacker kan få adgang til dem alle på én gang. Enig i at det er dårlig praksis at sende password'et til brugeren pr. e-mail når de selv har valgt det, men derfor kan passwords sagtens være gemt som en hash eller krypteret i systemet. Per Palmkvist kunne jo undersøge det lidt videre ved, at benytte glemt password funktionen. Hvis han får det oprindelige kodeord tilsendt pr. mail igen er det enten gemt som klar tekst eller i et dekrypter bart format.

  • 0
  • 0
Jonas Nyrup

Jeg ved ikke hvornår det er blevet god praksis at kryptere kodeord, men jeg har fået en del mails gennem tiden med mit kodeord i klar tekst.

Jeg har 45 mails siden 2003 der indeholder mit kodeord i klar tekst. 14 af dem hævder at kodeordet er krypteret (heraf 9 fra phpBB-baserede fora)

Hvordan kan det hænge sammen?

  • 0
  • 0
Henrik Høyer

Hvis de kan sende dig dit selvvalgte kodeord i clear tekst, så har de en sikkerhedsmæssig designfejl i deres system. Og dem har laver denne fejl laver typisk også den fejl at gemme det i cleartekst i deres database.

  • 0
  • 0
Karsten Nyblad

Så vidt jeg kan se, behøver det ukrypterede password ikke ligge på webserveren, selv om man kan få det tilsendt. Passwordet kan ligge gemt på backoffice systemerne. Selv der kunne det være krypteret med et kodeord, som selvfølgelig skal være kendt af sitet IT-folk.

Når en bruger beder om at få tilsendt sit password, skal websiten så bede backoffice systemet om at sende det. Så er vi vist efterhånden oppe på en rimelig sikkerhed.

  • 0
  • 0
Benjamin Kristensen

har lige oprettet en bruger, for at se hvordan de håndterer passwords, og det viser sig at når man har "glemt" sit password, så får man tilsendt et nulstilnings link, så enten har de ikke adgang til dit password i cleartext eller også viser de det bare ikke...

det virker også lidt uproffesionelt når der i aktiverings mailen står:

"Du kan bruge følgende loginoplysninger når Victoria Milan er lanceret: "

for det er da min overbevisning at det allerede er lanceret.

  • 0
  • 0
Mikkel Høgh

Det er som du siger meget normalt at få koden tilsendt pr. mail, og det er ikke ensbetydende med at din kode ikke er sendt sikkert.

Drupal, som jeg arbejder med, giver som standard ikke mulighed for selv at vælge en kode, og tilsender brugeren et genereret password pr. mail. Dette password gemmes dog ikke i klar tekst, men det findes jo i hukommelsen for den HTTP request der opretter din bruger og sender mail'en ud. Det forsvinder jo så i takt med at den hukommelse bliver brugt til noget andet…

  • 0
  • 0
Simon Hoxer

Hvorfor skal V2 nu ødelægge en god forretning :P. Man kunne sikkert have tjent mange penge på, at kontakte partnere til Victoria Milans brugere og tilbyde oplysninger til en nærmest uoverkommelig pris.

En sådan forretning vil være mindst ligeså etisk som Victoria Milans egen. Hvorfor friste de svage sjæle?

  • 0
  • 0
Lasse Reinholt

Ved at oprette en profil med en smuk kvinde og tale mænd efter munden, kan man let få ofrene til at klikke på links, der installerer malware.

Det er jo at gå over åen efter vand. Hvorfor ikke "oprette en profil med en smuk kvinde og tale mænd efter munden" og dernæst bare afpresse dem med hvad de har skrevet til dig?

  • 0
  • 0
Log ind eller Opret konto for at kommentere