Hackede sig til at få en million venner

Annonceindlæg fra Conscia

Internettets smutveje er smarte – men hvad gør I for at sikre dem?

Det er fristende at spare tid med lækre internetapps og GenAI. Men pas på. Uautoriseret brug risikerer at underminere hele forretningsgevinsten.

Over en million brugere af webstedet Myspace.com ville være hackeren Samys ven, takket være en lille stump Javascript-kode, som udnyttede webstedets usikre webapplikation.

Myspace.com, som ejes af Rupert Murdochs News Corporation, er både et dating-websted og et sted, hvor familier og klassekammerater kan vedligeholde kontakten.

Samy opdagede ifølge hans egen beretning, at en af webapplikationerne på webstedet kunne udnyttes til såkaldt cross site scripting eller XSS.

Det vil sige, at applikationen ikke kontrollerer, om et stykke kode kommer fra den rigtige server.

Det udnyttede Samy til at skrive et lille program, som fik folk, der besøgte hans profil på Myspace.com, til automatisk at tilføje ham som en nær ven på deres personlige venneliste.

På Myspace.com kan en person tilføjes kontaktlisten som "hero" eller en helt. På en profil bliver helte-kontaktpersonerne fremhævet for andre brugere.

Imidlertid ønskede Samy ikke at stoppe dér. Han ændrede koden, så de besøgende ikke blot tilføjede ham til deres kontaktliste uden at vide det, men de fik også koden med.

Det betød, at når en person besøgte en af de profiler, hvor Samy var tilføjet som en helt, så fik den besøgende automatisk også tilføjet Samy.

I løbet af blot 20 timer betød det, at over en million brugere af webstedet havde tilføjet Samy til deres liste.

Ifølge det danske sikkerhedsfirma CSIS er Samys kode det første eksempel på en orm, som benytter sig af cross site scripting.

I et e-mail-interview med webloggen Outer Court indrømmer Samy, at koden var mere effektiv, end han havde ventet, men at han var ude af stand til selv at stoppe det igen.

- Jeg ville bestemt gerne have stoppet det. Det ville ikke hjælpe blot at slette min konto hos Myspace, men jeg forsøgte det alligevel. Den eneste måde var at stoppe det ved roden, siger Samy til Outer Court.

Myspace.com blev da også tvunget til at lukke ned for at fjerne koden, men en lang række profiler bærer fortsat teksten "Samy is my hero" (Samy er min helt).

Sikkerhedseksperter forventer, at flere ondsindede programmer i fremtiden vil forsøge at udnytte cross site scripting på populære websteder til at sprede sig.