CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Hackede sig til at få en million venner

Hackeren Samy skaffede sig over en million nye venner, efter han aktiverede et Javascript på sin profil på kontakt-webstedet Myspace.com. Det tog blot 20 timer.

18. oktober 2005 kl. 09.30
Jesper Stein Sandal Jesper Stein Sandal
IDG News Service IDG News Service

Over en million brugere af webstedet Myspace.com ville være hackeren Samys ven, takket være en lille stump Javascript-kode, som udnyttede webstedets usikre webapplikation.

Myspace.com, som ejes af Rupert Murdochs News Corporation, er både et dating-websted og et sted, hvor familier og klassekammerater kan vedligeholde kontakten.

Samy opdagede ifølge hans egen beretning, at en af webapplikationerne på webstedet kunne udnyttes til såkaldt cross site scripting eller XSS.

Det vil sige, at applikationen ikke kontrollerer, om et stykke kode kommer fra den rigtige server.

Det udnyttede Samy til at skrive et lille program, som fik folk, der besøgte hans profil på Myspace.com, til automatisk at tilføje ham som en nær ven på deres personlige venneliste.

På Myspace.com kan en person tilføjes kontaktlisten som "hero" eller en helt. På en profil bliver helte-kontaktpersonerne fremhævet for andre brugere.

Imidlertid ønskede Samy ikke at stoppe dér. Han ændrede koden, så de besøgende ikke blot tilføjede ham til deres kontaktliste uden at vide det, men de fik også koden med.

Det betød, at når en person besøgte en af de profiler, hvor Samy var tilføjet som en helt, så fik den besøgende automatisk også tilføjet Samy.

I løbet af blot 20 timer betød det, at over en million brugere af webstedet havde tilføjet Samy til deres liste.

Ifølge det danske sikkerhedsfirma CSIS er Samys kode det første eksempel på en orm, som benytter sig af cross site scripting.

I et e-mail-interview med webloggen Outer Court indrømmer Samy, at koden var mere effektiv, end han havde ventet, men at han var ude af stand til selv at stoppe det igen.

- Jeg ville bestemt gerne have stoppet det. Det ville ikke hjælpe blot at slette min konto hos Myspace, men jeg forsøgte det alligevel. Den eneste måde var at stoppe det ved roden, siger Samy til Outer Court.

Myspace.com blev da også tvunget til at lukke ned for at fjerne koden, men en lang række profiler bærer fortsat teksten "Samy is my hero" (Samy er min helt).

Sikkerhedseksperter forventer, at flere ondsindede programmer i fremtiden vil forsøge at udnytte cross site scripting på populære websteder til at sprede sig.




Navnenyt fra it-danmarkVis alle »
Søren Damløv
Søren Damløv
Flemming Holbæk Lundager
Flemming Holbæk Lundager
Mathias Niebuhr Bjerregaard
Mathias Niebuhr Bjerregaard
Ulf Buhl Tams-Kirsmeyer
Ulf Buhl Tams-Kirsmeyer

Carsten Mertz
Carsten Mertz
Christoffer Sten Hansen
Christoffer Sten Hansen
Michael Agerskov Jensby
Michael Agerskov Jensby
Thomas Hede Jensen
Thomas Hede Jensen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere

Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere

Cyberthreat Day, Horsens: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

10. april 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jonathan Løw
Jonathan Løw
Grit Munk
Grit Munk
Erik David Johnson
Erik David Johnson
Jim Nielsen
Jim Nielsen
Mogens Nørgaard
Mogens Nørgaard
Henri Teho
Henri Teho
Ole Kjeldsen
Ole Kjeldsen
Ursula Krogsbøll
Ursula Krogsbøll
opinion
Jonathan Løw
Jonathan Løw
Med AI-agenterne kommer it og HR til at smelte helt sammen
Læs indlæg
Artikel teaser billede

Grit Munk

Øget overvågning undergraver vores frihed

Artikel teaser billede

Erik David Johnson

OpenAI har fjernet støttehjulene og givet os mere frie tøjler til, hvordan vi kan anvende teknologien

Artikel teaser billede

Jim Nielsen

Menneskelig intuition er helt afgørende, hvis du vil have fuld udbytte af AI og data

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Den Hellige Treenighed (AI, Microsoft & Oracle)

Mest læste klummer og blogs
OpenAI har fjernet støttehjulene og givet os mere frie tøjler til, hvordan vi kan anvende teknologien
Klumme: Det er slut med at have babysitter på, når du anvender OpenAI.
Af: Erik David Johnson
Øget overvågning undergraver vores frihed
Klumme: Regeringens planer om at udvide kameraovervågningen i Danmark er endnu et skridt på vejen mod et overvågningssamfund.
Af: Grit Munk
Med AI-agenterne kommer it og HR til at smelte helt sammen
Klumme: Måske har du hørt om dem – AI-agenterne? Hvis ikke, lover jeg dig, at du kommer til det over den kommende tid. De er den vigtigste revolution indenf or AI de seneste årtier, og de vil få kæmpe impact på den måde, vi arbejder på.
Af: Jonathan Løw
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Den Hellige Treenighed (AI, Microsoft & Oracle)
opinion Henri Teho
På disse smarte måder kan kunstig intelligens integreres i din software-udvikling
Læs indlæg

Premium
Teaser billede
It-driftsansatte og administratorer i Danmark har udsigt til kun små lønstigninger i år: Så meget tjener de om måneden
Læs mere »
It-kaos til trecifret milliardbeløb: "Ingen har det fulde overblik"
EU varsler tech-told som modsvar til Trump: Amerikanske giganter i skudlinjen
Nu erkender Oracle det kæmpestore hack: Andet databrud indenfor ganske kort tid
Se alle »
Computerworld
Teaser billede
Prøvekørt: 'Årets bil' er kvadratisk, praktisk og bare god
Læs mere »
Husk det her, når du skal købe it-løsninger næste gang: Vi er vidner til it-branchens største maskefald nogensinde
Elon Musk sælger sit sociale medie X
Guide: Er din Google-konto hacket? Sådan finder du svaret
Se alle »
CIO
Teaser billede
Husk det her, når du skal købe it-løsninger næste gang: Vi er vidner til it-branchens største maskefald nogensinde
Læs mere »
EU vil udvikle eget styresystem som alternativ til Windows: På vej med EU OS
TDC-topchef: Vi kan ikke længere udelukke, at der lukkes for amerikanske it-services i Danmark
Din it-organisation går store forandringer i møde: Inden længe vil AI have bombet den 25 år tilbage
Se alle »
Job & Karriere
Teaser billede
Den danske it-branche er på vagt: Hvad nu hvis Trump lukker for Microsoft 365 og AWS fra på mandag?
Læs mere »
Carsten advarede som it-sikkerhedschef om problemer og blev fyret: "Det endte med voksen-mobning af værste skuffe"
Microsoft fyrer de dårligst performende ansatte: Disse jobtitler bliver ramt
Nørgaard: I de gode gamle dage havde jeg for vane at fyre alle mine medarbejdere jævnligt
Se alle »
White paper
Teaser billede
Sådan sikrer du nem og beskyttet adgang til dine ressourcer
Læs mere »
AI og kunderejsen: Sådan vinder du fremtidens forbrugere
Sikkerhed gjort enkelt: Beskyt din virksomhed direkte i browseren
Revolutionér kundeoplevelsen med AI og automatisering
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »