Natten til lørdag blev TDC's discount-koncept Mixit.dk shanghajet af en sandsynligvis tysk hacker, som skiftede forsiden på mobiloptankningstjenesten ud.
Igennem otte timer var forsiden til tjenesten, hvor mobilbrugere tanker mobiltid med Dankort, skiftet ud med en besked fra hackeren e605, som hoverede med budskabet "Jeg vil gøre dette, indtil I lærer at sikre en Unix-b0x."
Over for Morgenavisen Jyllands-Posten erkender sikkerhedschef Jørgen Bo Madsen, at sagen er pinlig for TDC, som selv agerer sikkerhedsleverandør over for en række kunder.
- Det er kedeligt, pinligt og uheldigt, og det forskrækker vores kunder, når nogen er brudt ind i et system, hvor man er kunde og bruger kontooplysninger og password, siger han til avisen.
Softwareleverandøren til websiden, som TDC ikke ønsker at oplyse navnet på, er blevet fyret og udskiftet, bekræfter TDC.
En sikkerhedsekspert i et større dansk sikkerhedsfirma, som ønsker at være anonym, hævder over for Computerworld Online, at det blot ville have været et spørgsmål om tid, før episoden var kommet.
Websted åbent for hackere
Et check på websiden Netcraft.co.uk, som kan oplyse om de softwareversioner, forskellige websider kører på, afslører nemlig, at Mixit.dk kan være blevet ramt via mindst to og måske tre offentlig kendte sårbarheder, som der findes sikkerhedsrettelser til.
Det drejer sig om systemerne Open SSL og PHP, som har haft flere sårbarheder inden for de seneste måneder.
OpenSSL har desuden været udnyttet af en orm. Ifølge Netcraft.co.uk kører Mixit.dk på versioner, der ikke har været opdateret siden september 2003.
- Det er som at have en bil og så ikke checke bremserne i to år - det kan være fatalt, siger sikkerhedseksperten til Computerworld Online.
Ud over at bekræfte, at en leverandør er fyret, ønsker TDC i dag ikke at kommentere episoden med henvisning til, at det kan risikere at opildne andre hackere.
Frederiksberg-firmaet Dwarf har designet Mixit-webstedet for TDC. Dwarf oplyser til Computerworld Online, at selskabet intet har med de tekniske løsninger at gøre og ikke kender til hacker-angrebet.
