SQL-bommert på dansk score-site: Brugere kunne se hinandens private beskeder

Scripts kørt i forkert rækkefølge på Scor.dk har bevirket, at brugere har fået adgang til hinandens private beskeder.

Dating-siden Scor.dk med undertitlen 'Danmarks frækkeste mødested' har været ramt af en fejl, så uvedkommende har fået adgang til andres private beskeder. Vel at mærke beskeder, som kan have været af særdeles intim karakter.

Fejlen opstod 12.25 den 22. juni og blev rettet igen kort efter, klokken 12.27. Fejlen bevirkede, at brugernes beskeder i post-systemet på Scor.dk blev blandet sammen, så uvedkommende kunne se andres private beskeder.

Version2 har været i kontakt med direktør for Scor.dk Susie Castenlund, som foretrækker at svare på spørgsmål via mail frem for telefonisk.

Via mail oplyser hun, at fejlen blev introduceret i forbindelse med en opdatering. Fejlen opstod, selvom opdateringen først var blevet testet i et udviklingsmiljø.

»Opdateringen blev testet i vores udviklingsmiljø, hvor der ikke viste sig nogen problemer. Opdateringen bestod af en række SQL-scripts, og disse blev kørt i forkert rækkefølge. Udvikleren, som lagde opdateringen på, var ikke klar over, at disse SQL-scripts skulle køres i en speciel rækkefølge,« står der i mailen fra Susie Castenlund.

Intern undersøgelse

Hvad vil I konkret gøre for, at noget lignende ikke gentager sig?
»Vi har ikke tidligere været ude for noget lignende, det er lidt et unikt tilfælde, og nu har vi trods alt været i gang i mange år. Fremadrettet udvides vores deploy dokumentation med evt. krav til afviklingsrækkefølge for scripts, datakopiering etc.,« oplyser Susie Castenlund og fortsætter:

»Herudover vil vi iværksætte en intern undersøgelse af, om vores interne procedurer – herunder sikkerheds- og uddannelsesprocedurer - er gode nok, idet det dog skal bemærkes, at det er umuligt helt at gardere sig mod menneskelige fejl.«

Ved I hvor mange beskeder, der blev læst af uvedkommende?
»Vi har ikke et præcist tal, men der var omkring 200 brugere online i vores chat, og samlet 1.500 brugere online på hele systemet, mens fejlen stod på. Vi lukkede kl. 12:27 sitet ned, loggede alle af og rullede rettelsen tilbage, så det er begrænset, hvad man har kunnet nå at læse,« står der i det skriftlige svar fra Susie Castenlund.

Hun fortæller, at beskederne desuden var uden angivelse af afsendernavn, og at det derfor har været svært at vurdere for den læsende profil, hvem beskeden reelt har tilhørt.

Hvor mange brugere har været ramt af fejlen?
»Reelt set alle brugere med post, men kun de brugere, som var online og inde i postsystemet eller i gang med en privat chat, har kunne se fremmed post i det korte tidsrum,« oplyser Susie Castenlund via mail.

Beklager dybt

Version2.dk er blevet opmærksom på sagen via et læsertip, der henviser til en besked på Scor.dk, hvor der blandt andet står: »Vi er klar over, at posten kan indeholde personlige ting og billeder, og vi beklager de gener, som nogen måtte opleve i den forbindelse.«

I mailen til Version2 beklager Susie Castenlund også.

»Det er naturligvis dybt beklageligt, og vi har informeret vores brugere, som du sikkert har set, og oplever de noget ifm., at andre profiler måtte misbruge de ting, de ikke skulle have læst, så opfordrer vi dem til at kontakte vores support,« oplyser direktøren og fortsætter:

»Mange af vores brugere har da også taget det med et smil på læben, hvilket man kan se i de offentlige blogs, men også i antallet af henvendelser samt feedback til vores support, telefonisk som skriftligt.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize