Hackede sig til at få en million venner

Hackeren Samy skaffede sig over en million nye venner, efter han aktiverede et Javascript på sin profil på kontakt-webstedet Myspace.com. Det tog blot 20 timer.

Over en million brugere af webstedet Myspace.com ville være hackeren Samys ven, takket være en lille stump Javascript-kode, som udnyttede webstedets usikre webapplikation.

Myspace.com, som ejes af Rupert Murdochs News Corporation, er både et dating-websted og et sted, hvor familier og klassekammerater kan vedligeholde kontakten.

Samy opdagede ifølge hans egen beretning, at en af webapplikationerne på webstedet kunne udnyttes til såkaldt cross site scripting eller XSS.

Det vil sige, at applikationen ikke kontrollerer, om et stykke kode kommer fra den rigtige server.

Det udnyttede Samy til at skrive et lille program, som fik folk, der besøgte hans profil på Myspace.com, til automatisk at tilføje ham som en nær ven på deres personlige venneliste.

På Myspace.com kan en person tilføjes kontaktlisten som "hero" eller en helt. På en profil bliver helte-kontaktpersonerne fremhævet for andre brugere.

Imidlertid ønskede Samy ikke at stoppe dér. Han ændrede koden, så de besøgende ikke blot tilføjede ham til deres kontaktliste uden at vide det, men de fik også koden med.

Det betød, at når en person besøgte en af de profiler, hvor Samy var tilføjet som en helt, så fik den besøgende automatisk også tilføjet Samy.

I løbet af blot 20 timer betød det, at over en million brugere af webstedet havde tilføjet Samy til deres liste.

Ifølge det danske sikkerhedsfirma CSIS er Samys kode det første eksempel på en orm, som benytter sig af cross site scripting.

I et e-mail-interview med webloggen Outer Court indrømmer Samy, at koden var mere effektiv, end han havde ventet, men at han var ude af stand til selv at stoppe det igen.

- Jeg ville bestemt gerne have stoppet det. Det ville ikke hjælpe blot at slette min konto hos Myspace, men jeg forsøgte det alligevel. Den eneste måde var at stoppe det ved roden, siger Samy til Outer Court.

Myspace.com blev da også tvunget til at lukke ned for at fjerne koden, men en lang række profiler bærer fortsat teksten "Samy is my hero" (Samy er min helt).

Sikkerhedseksperter forventer, at flere ondsindede programmer i fremtiden vil forsøge at udnytte cross site scripting på populære websteder til at sprede sig.

Navnenyt fra it-Danmark

Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S