Søg

Hackede sig til at få en million venner

Hackeren Samy skaffede sig over en million nye venner, efter han aktiverede et Javascript på sin profil på kontakt-webstedet Myspace.com. Det tog blot 20 timer.

18. oktober 2005 kl. 09.30
Jesper Stein Sandal Jesper Stein Sandal
IDG News Service IDG News Service

Over en million brugere af webstedet Myspace.com ville være hackeren Samys ven, takket være en lille stump Javascript-kode, som udnyttede webstedets usikre webapplikation.

Myspace.com, som ejes af Rupert Murdochs News Corporation, er både et dating-websted og et sted, hvor familier og klassekammerater kan vedligeholde kontakten.

Samy opdagede ifølge hans egen beretning, at en af webapplikationerne på webstedet kunne udnyttes til såkaldt cross site scripting eller XSS.

Det vil sige, at applikationen ikke kontrollerer, om et stykke kode kommer fra den rigtige server.

Det udnyttede Samy til at skrive et lille program, som fik folk, der besøgte hans profil på Myspace.com, til automatisk at tilføje ham som en nær ven på deres personlige venneliste.

På Myspace.com kan en person tilføjes kontaktlisten som "hero" eller en helt. På en profil bliver helte-kontaktpersonerne fremhævet for andre brugere.

Imidlertid ønskede Samy ikke at stoppe dér. Han ændrede koden, så de besøgende ikke blot tilføjede ham til deres kontaktliste uden at vide det, men de fik også koden med.

Det betød, at når en person besøgte en af de profiler, hvor Samy var tilføjet som en helt, så fik den besøgende automatisk også tilføjet Samy.

I løbet af blot 20 timer betød det, at over en million brugere af webstedet havde tilføjet Samy til deres liste.

Ifølge det danske sikkerhedsfirma CSIS er Samys kode det første eksempel på en orm, som benytter sig af cross site scripting.

I et e-mail-interview med webloggen Outer Court indrømmer Samy, at koden var mere effektiv, end han havde ventet, men at han var ude af stand til selv at stoppe det igen.

- Jeg ville bestemt gerne have stoppet det. Det ville ikke hjælpe blot at slette min konto hos Myspace, men jeg forsøgte det alligevel. Den eneste måde var at stoppe det ved roden, siger Samy til Outer Court.

Myspace.com blev da også tvunget til at lukke ned for at fjerne koden, men en lang række profiler bærer fortsat teksten "Samy is my hero" (Samy er min helt).

Sikkerhedseksperter forventer, at flere ondsindede programmer i fremtiden vil forsøge at udnytte cross site scripting på populære websteder til at sprede sig.

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Årets CISO 2026

    Event: Årets CISO 2026

    Sikkerhed | København

    Vi glæder os til at løfte sløret for flere detaljer til denne konference. I mellemtiden kan du tilmelde dig og dermed have tidspunktet reserveret i din kalender.

    22 oktober 2026 | Gratis deltagelse

    Red Barnet

    IT Support Engineer

    Københavnsområdet

    Netcompany A/S

    IT Consultant

    Nordjylland

    FK Distribution A/S

    Data Engineer / Backend udvikler til FK Distributions BI-udviklingsteam

    Københavnsområdet

    Loomis Danmark

    Applikationsspecialist – tag ansvar for vores kerneapplikationer i samfundskritiske systemer

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job

    Louise Sara Baunsgaard

    Guardsix

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job

    Annbritt Andersen

    Guardsix

    Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

    Jonas Kyhnau

    Pentos

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Det betyder USA's forbud mod vigtig AI-model: "Nu falder maskerne. Der er ingen grænser for, hvad der kan ske herfra"
    2 Anthropic tvinges til at lukke Fable 5 og Mythos 5 efter amerikansk sikkerhedsordre
    3 Drop de dyre AI-tokens: Sådan får du meget mere for pengene hos Claude og ChatGPT
    4 Er jeg idiot? Kendt investor har netop investeret i SpaceX- aktien, der slutter med en stigning på 19 procent
    5 Ny gratis AI blander sig i toppen: Så tæt kommer den på ChatGPT og Claude
    6 Morgen-briefing: Kommende tech-lovgivning kommer på dagsorden til G7-topmøde i næste uge / Forsvaret får et AI-center / El-busser uden strøm på grund af presset el-net
    7 Danske kommuner i gang med at udvikle alternativ til Microsoft Office
    8 Løn, fryns og karrieremuligheder mister betydning: Det skal arbejdsgiverne tilbyde for at tiltrække fremtidens it-specialister

    Se seneste uge