Fri adgang til 30.000 Scor-brugeres intimfotos

Lav et lille program, sæt det til at søge på Scor.dk's billedarkiv. Og brænd bagefter fire cd-rommer med de over 30.000 fotos af almindelige danskere, der dukker op.

De fleste billeder viser private fotos af helt eller delvist afklædte mennesker, ofte i erotiske situationer.

En af Computerworld Onlines læsere har udført manøvren og bagefter advaret Scor.dk om, at systematisk misbrug af brugernes billeder er muligt. Men Scor.dk vil ikke lukke hullet.

Læseren, der ønsker at være anonym, har dokumenteret metoden for redaktionen, og sikkerhedsfirmaet Protego bekræfter, at man med simpel programmør-viden kan efterligne fremgangsmåden.

- Der er intet avanceret i det beskrevne. Hovedårsagen til problemet er, at de følsomme data ligger direkte i web-træet. De kan altså refereres til direkte via en URL (internetadresse, red.). Dermed kan alt ses i en almindelig browser uden nogen form for beskyttelse, siger sikkerhedsingeniør Jens Christensen fra Protego.

Ikke ulovligt

Det er altså ikke nødvendigt at være registreret eller have en profil på Scor.dk. De mange tusinde billeder er frit tilgængelige, hvis man indtaster en særlig adresse i browserens adressefelt.

Fakta om Scor.dk Scor.dk bor i Køge og har efter egne oplysninger 10 medarbejdere. Firmaet oplyser ikke sin omsætning, men i regnskabet for 2001 oplyser Scor ApS sin bruttofortjeneste til 2,4 millioner kroner. Net-mødestedet gav et overskud på over 200.000 kroner. Fredag aften holder Scor.dk julefrokost for 300-400 af sine medlemmer på Club Catwalk i København.

Hos Protego mener man ikke engang, at søgningerne er ulovlige, fordi man netop ikke skal omgå passwords eller på anden måde grave ned i sikrede databaser.

Billederne ligger for sig selv i et bibliotek på Scor.dk's server, men den anonyme læser har over for redaktionen beskrevet, at hvordan man kan koble billeder sammen med den tilhørende profil.

Scor.dk fastholder, at man ikke hidtil har villet betragte den åbne adgang til filer som et problem.

- Det har altid været sådan. Det er vilkårene. Vi skriver til brugerne, at vi har ophavsretten til de billeder, folk lægger ind på deres profiler, siger direktør for Scor ApS, Lars Castenlund.

- Brugerne ved godt mellem linjerne, at når de lægger billeder ind på deres profil, så kan der komme nogen og snuppe dem, fortsætter han.

Teknisk er mulighederne uendelige. Uvedkommende kan distribuere de mange tusinde billeder på cd-rommer eller i nyhedsgrupper. Juridisk vil det dog være ulovligt, fordi Scor.dk har ophavsret på de billeder, der gemmes på sitet.

Umuligt at bruge database

Advarslen fra en bruger helt tilbage i oktober har ikke gjort indtryk på direktøren, som dog vil overveje situationen efter Computerworld Onlines henvendelse:

- Måske har det taget en uheldig drejning, og så er det noget, vi må kigge på. Din henvendelse giver stof til eftertanke, siger Lars Castenlund.

Protego anbefaler, at Scor.dk placerer alle følsomme filer i et sikkert bibliotek, og så eksempelvis lade et databaseprogram håndtere filerne til brugerne.

Den køber man ikke hos Scor.dk:

- Det kan ikke lade sig gøre på et site med så meget trafik. Den går med en lille butik, der bare skal have 40 billeder af sine produkter liggende, siger Lars Castenlund.

Scor.dk har ifølge Gallup ugentligt over 62.000 unikke brugere.