Hackere afslører 30.000 danske brugere og kodeord fra Sex.dk

Illustration: Virrage Images/Bigstock
Over 30.000 danske profiler på datingsiden Sex.dk er blevet hacket, og brugernavne samt kodeord er offentliggjort på sitet Pastebin.com. Tag det helt roligt, lyder det til brugerne fra folkene bag Sex.dk.

En endnu ukendt hacker har fået adgang til samtlige 30.000 danske brugernavne og kodeord på sexdatingsiden Sex.dk og lagt dem ud på nettet - frit tilgængeligt for alle på den offentlige hjemmeside Pastebin.com. Men sex-profilerne skulle ifølge Bo Jacobsen fra Crock Data, der har ansvaret for driften af sitet, være blokeret kort tid efter, at hackerne lagde passwords ud..

»Vi har blokeret samtlige profiler, så man ikke kan få adgang til dem via de informationer, man kan finde på Pastebin.com. Samtidig har vi generet nye kodeord, som brugerne vil blive bedt om at bruge, næste gang, de logger ind på Sex.dk,« siger Bo Jacobsen til Version2.

Han understreger også, at nuværende brugere ikke skal være nervøse for, at deres profiler har lidt skade eller er blevet misbrugt.

»Der er ikke blevet lækket personfølsomme oplysninger som følge af det her hack. Så vores nuværende brugere kan tage det helt roligt,« fortæller Bo Jacobsen til Version2.

Beskeden på Pastebin-siden er underskrevet #anondk, hvilket er kort form for den løst sammensatte hackerbevægelse Anonymous, og kom online torsdag den 15. november. Ifølge Version2's oplysninger har siden været online i hvert fald fra klokken 11.20, med et link til en liste over samtlige brugernavne og passwords på Sex.dk:

We all love sex, and here are 30k who seeks it via sex.dk.
 
[link slettet af Version2]
 
Enjoy anaons
 
#anondk

Hvordan er stadig det store spørgsmål

Bo Jacobsen og folkene bag Sex.dk opdagede selv lækket på Pastebin.com ved en 12-tiden torsdag, og de reagerede straks på hændelsen. Han pointerer også, at sikkerheden på Sex.dk generelt er høj, men alt man sjældent kan gardere sig fuldstændigt.

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« siger Bo Jacobsen.

Crock Data købte i øvrigt domænet sex.dk fra Cybercity i 2009, sammen med en stribe andre meget attraktive webadresser, for et større millionbeløb.

Indtil da havde domænerne lukket ubrugte hen hos Cybercity, som købte dem meget billigt i 1997, netop som det blev muligt at købe domæner frit. Indkøbene førte til beskyldninger om hamstring af domæner, og i 2009 blev Cybercity så nødt til at sælge domænerne videre, da loven blev ændret - netop for at gøre det svært for domænehajer.

Læs også: Hamstrede danske gulddomæner får nyt liv hos porno-firma

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Daniel Gertsen

Hvordan mon de fik fat i passwords til alle brugerne?
Mon de var opbevaret i klartekst?

I så fald, runger nedenstående citat lidt hult:

»Jeg mener, at vi har gjort, hvad vi kunne. Man kan desværre aldrig gardere sig 100 procent mod den slags angreb. Det kan vi heller ikke,« siger Bo Jacobsen

  • 21
  • 0
Jakob Møbjerg Nielsen

Med ca. 30.000 brugernavne og passwords frit tilgængelige på Internettet i mindst 40 minutter, så er det lidt naivt at tro, at andre ikke har haft uautoriseret adgang til personfølsomme oplysninger, med mindre:

1) Man ikke har adgang til sine egne oplysninger?
2) Der ikke er nogen, der har logget ind i løbet af de 40 minutter.

Derudover: Clear text passwords? Så er vi meget længere væk fra de 100 procent, end de selv tror de er, og det har ikke meget med clear text passwords at gøre, men mere, at når de ikke har styr på det allermest basale, så har jeg intet tillid til, at de har styr på så meget andet. Det kunne for eksempel være meget interessant at vide, præcist hvordan hackerne fik fat i denne liste.

Og selvom Crock Data nu mener at have sit på det tørre, så er de, i mine øjne, medansvarlige for alle de efterfølgende uautoriserede logins, der uundgåeligt kommer til at foregå til diverse mailkonti o.l.

Jeg ville muligvis have formuleret mig anderledes, hvis de i stedet kom ud sagde "Undskyld, vi har dummet os. Vi vil lære af dette, og bruge penge på at få konsulenter til at identificere sikkerhedsmæssige huller i vores kode".

  • 8
  • 0
Maciej Szeliga

Med ca. 30.000 brugernavne og passwords frit tilgængelige på Internettet i mindst 40 minutter, så er det lidt naivt at tro, at andre ikke har haft uautoriseret adgang til personfølsomme oplysninger, med mindre:


Hvilke "personfølsomme oplysninger" kan man have lagt ud på en dating side ?
"Nuser (direktør) er født i vandmandens tegn og foretrækker at damen er en smule dominerende" ?

  • 0
  • 8
Carsten Olsen

Så vores nuværende brugere kan tage det helt roligt

Hvad hvis en bruger, bruger det samme password 100 andre steder og kun kan huske de 80 af dem. (fordi browseren husker det for ham) Hvis en bruger lægger sag an kan det godt være at dommeren ikke tager så let på sikkerheden når han skal udmåle erstatningen.

  • 2
  • 1
Jesper Lund

Hvad hvis en bruger, bruger det samme password 100 andre steder og kun kan huske de 80 af dem. (fordi browseren husker det for ham) Hvis en bruger lægger sag an kan det godt være at dommeren ikke tager så let på sikkerheden når han skal udmåle erstatningen.

Jeg tror at du skal læse lidt op på dansk erstatningsret (erstatning uden for kontrakt, for at være helt præcis).
http://www.retssal.dk/?page=emne&id=1677&indexid=27

Hvis din PayPal bliver misbrugt fordi du brugte samme password som på sex.dk, skal du ikke regne med at kunne få erstatning hos sex.dk (manglende årsagssammenhæng, i juridisk forstand).

Men det er utroligt at vi skal blive ved med at høre om den type historier. I andre lande har man lovgivning som forpligter virksomheder til at underrette hver enkelt kunde når der er sket et dataindbrud (som her). Det er sikkert dyrt, og det giver tab af prestige/omdømme, men det giver til gengæld virksomhederne et kraftigt økonomisk incitament til at stramme om på sikkerheden og ansætte kvalificeret personale til at styre deres IT-systemer.

  • 7
  • 0
Log ind eller Opret konto for at kommentere