Hvad man ikke ved, har man ikke ondt af.
Det gamle ordsprog passer urimelig dårligt til den situation, som nyhedstjenesten Newz.dk og dens brugere befinder sig i lige nu.
For hverken brugere eller nyhedstjeneste havde den ringeste anelse om hackere i juli måned 2007 benyttede et sikkerhedshul til at hente en liste med oplysninger om brugernavne, mailadresser, passwords og ip-numre på 4.800 brugere af Newz.dk.
Hullet opstod i forbindelse med, at Newz.dk skiftede fra et layout til et andet.
Blog-indlæg
Juleaftensdag, 24. december, lagde hackerne så en julehilsen på Newz.dk-sitet, der linkede til en blog, hvor listen med de udstillede brugere kunne ses.
Bloggen er nu fjernet, men det kom bag på en af Newz-ejerne, Peter Rechnagel, at listen tilsyneladende har været i hænderne på hackerne i fem måneder, lige siden nyhedstjenesten skiftede til et nyt layout
”Vi antog, at det var noget, de havde hacket her og nu. Men de har gjort det i slutningen af juli. Sikkerhedshullet var der i ganske kort tid og vi fik det lukket. Men åbenbart ikke hurtigt nok.”
Pas på svage passwords
Newz.dk har ikke lidt teknisk skade.
Men de brugere, der har benyttet sig af svage passwords og nogle tilfælde har genbrugt dem til emailkonti eller til andre hjemmesider, har haft problemer.
Nogle har fået ændret deres passwords og hackerne har kunnet læse deres emails.
Andre har klaget deres nød til Peter Rechnagel og fortalt, at de bruger det samme password til at beskytte også deres vigtige oplysninger.
Det skal man passe på med, advarer han.
”Det er svært, hvis man genbruger sine passwords til vigtige data. Vi skal jo ikke undervise folk i, hvordan de håndterer passwords. Jeg kunne selv finde på at bruge et nemt password til et site som vores,” siger han.
Datatilsynet ind i sagen
27. december orienterede Newz.dk via mail samtlige 23.000 brugere om sikkerhedsbristen. Man er nu i gang med at undersøge, hvorfor det ikke blev opdaget i juli måned, at hackerne havde været forbi.
Peter Rechnagel mener ikke, at han allerede dengang burde have orienteret om hullet og sikkerhedsrisikoen.
”Der kommer sikkerhedsopdateringer hele tiden. Jeg tror, det bliver trivielt i længden, så folk ignorerer den slags meddelser. Men jeg ville ønske, vi havde opdaget det, så vi kunne have været hurtigere ude med en advarsel,” siger han.
Datatilsynet oplyser til Computerworld, at det undersøger sagen og tager stilling til, hvorvidt skal rejses kritik af Newz.dk's håndtering af datasikkerheden.
