Før eller siden bliver vi alle hacket

Livet er kort, hav en affære. Sådan lyder det lokkende slogan for utroskabssitet Ashley Madison. Nu risikerer 37 millioner brugere på verdensplan at få offentliggjort deres identiteter.

Hackergruppen The Impact Team har angiveligt hacket sig adgang til personlige oplysninger om 37 millioner brugere af utroskabshjemmesiden Ashley Madison, og nu truer de så med at offentliggøre brugernes identiteter. Fold sammen
Læs mere

En pegefinger foran et par fyldige røde læber nærmest hvisker diskretion ud gennem skærmen, når man har indtastet www.ashleymadison.com i sin web-browser. På hånden sidder en vielsesring, men ansigtet er skåret af under øjnene.

Alt indikerer diskretion og anonymitet, men det er ikke tilfældet.

Hackergruppen The Impact Team hævder at have hacket sig adgang til personlige oplysninger om 37 millioner brugere af utroskabshjemmesiden, og nu truer hackerne med at offentliggøre brugernes identiteter.

I 2011 skete noget lignende for den svenske udgave af det mest brugte utroskabssite i Norden, Victoria Milan. Sitet har flere end 250.000 medlemmer alene i Danmark.

Kalkuleret utroskab

Hackerangrebet mod Ashley Madison blev offentligt kendt 15. juli. Her skrev den amerikanske sikkerheds- og informationsjournalist Brian Krebs på sin blog, at firmaet bag Ashley Madison, canadiske Avid Life Media, var blevet hacket.

Hackerne skulle, ifølge Krebs’ informationer, have fået adgang til alle 37 millioner brugeres identiteter. Han siger i et interview til Berlingske, at han er sikker på, at hackerne har oplysningerne. Det er ifølge kultursociolog Emilia van Hauen det værste, der kan ske for brugerne. Hun beskriver brugen af utroskabssites som kalkuleret utroskab.

»Man risikerer at miste sin partners tillid, omverdenens agtelse og sin egen selvagtelse. Ud over det konkrete ægteskab, og hvad det medfører,« siger hun.

Ifølge Emilia van Hauen er det anonymiteten, der tiltrækker brugerne.

»Utroskabssites er for dem, der gerne vil have det hele; både det socialt stabiliserende ægteskab og familieliv, og en hemmelig og sikker mulighed for at udleve sine egoistiske (seksuelle og intime) behov,« siger hun.

Hackere med moral

Angrebet sker paradoksalt nok, efter at Ashley Madison for ca. 60 kroner, tilbyder at slette alle informationer om brugeren. Men det hævder hackergruppen The Impact Team er løgn. Det er – ifølge hackerne – grunden til angrebet.

»Brugere betaler næsten altid med kreditkort; deres købsdetaljer bliver ikke fjernet som lovet og inkluderer rigtige navne og adresser, hvilket selvfølgelig er den vigtigste information, brugerne vil have fjernet,« skriver de. Ifølge Brian Krebs er det ikke tilfældigt, at hackerne afpresser virksomheden.

»Online gidseltagning, inklusive afpresning, er noget af det hurtigst voksende inden for cyberkriminalitet lige nu,« siger han til Berlingske.

Hackergruppen offentliggjorde 40 megabyte data, indeholdende brugeres kreditkort­informationer, for at bevise autenticiteten af angrebet. Sammen med dataen fremlagde de deres krav. De forlangte, at Ashley Madison blev fjernet permanent, ellers ville gruppen offentliggøre detaljer om brugerne.

Gruppen havde en besked til brugerne.

»Bare ærgerligt for de mænd, der er utro, og som ingen diskretion fortjener,« skrev gruppen. Manden bag historien, Brian Krebs, tror på handling bag ordene:

»Hvis vi går ud fra, at »hackerne« ikke bare er et PR stunt, og hvis vi antager, at de ikke bliver fanget, så tror jeg, at de offentliggør mere data,« siger han.

På trods af truslen er Ashley Madison stadig aktivt, og sitet hævder, at man har sikret sine brugeres oplysninger.

Datingkonge ikke bekymret

Har man som dansker fundet sin partner igennem netdating, kan det godt lade sig gøre at få slettet sine oplysninger efterfølgende. Virksomhederne bag de danske datingsider er nemlig ved dataloven forpligtet til at slette samtlige oplysninger, hvis man ønsker det.

Manden bag det danske datingsite Dating.dk, Morten Wagner, er heller ikke bekymret for sine nuværende kunder. Trods en enkelt trussel og adskillige forsøg er Dating.dk aldrig blevet hacket, siger han.

»Vi udvikler hele tiden vores sikkerhed, vi har simpelthen ikke råd til at lade være.« Når det er sagt, vil han ikke udstede garantier.

»Der er ingen i branchen, der kan garantere ikke at blive hacket,« siger han.

Morten Wagner er måske klog af skade. I 2012 var der et alvorligt sikkerhedsbrud hos Dating.dk. Berlingske skrev dengang: »Hullet giver ikke alene kodekloge gratis adgang til en række betalingsfunktioner, men også til andre brugeres private beskeder og gps-koordinater.«

Udviklingschef for Dating.dk Niels Thrane sagde dengang, at de fik rettet fejlen inden for en time.

Ved angrebet på Ashley Madison var en halv times adgang dog nok for hackerne til at stjæle oplysningerne.

Niels Thrane understreger over for Berlingske vigtigheden af at sikre sig: »Vi er udmærket klar over, at vores forretning står og falder med sikkerheden,« siger han.

På Dating.dk foregår betalingen via et andet selskab, så der på Dating.dk kun ligger den virtuelle profil.

Niels Thrane forklarer, at man især på udenlandske sider ofte har det hele samlet ét sted, eksempelvis hos Zoosk og Match.com.

»Så åbner man både for, at personfølsomme oplysninger og betalingskortoplysninger kan lækkes ved et angreb,« siger han.

Hos datingportalen Scor.dk bruger man samme metode som hos Dating.dk. Teknisk ansvarlig hos Scor.dk Thomas Hess forklarer, at man også hos dem har delt tingene op. Og så er der en anden vigtig faktor.

»Vi samarbejder med et sikkerhedsfirma, som gennemgår vores infrastruktur og løbende tilpasser den, så sikkerheden er i top,« siger han.

Alle bliver hacket på et tidspunkt

Danske Outpost24 er sådan et sikkerhedsfirma. Landechef og bestyrelsesmedlem hos Rådet for Digital Sikkerhed Micha Bangs­gaard forklarer, at firmaet lever af at finde sårbarheder. Firmaets 50 hackere finder virtuel vej ind i en virksomhed for at finde hullerne.

»Ideen er, at vi kan komme de onde hackere i forkøbet ved at fortælle vores kunder, hvilke problemer de har på deres hjemmesider,« siger hun.

Til spørgsmålet om, hvorvidt det kan ske for andre lignende sites, er svaret klart: Ja.

»Den svenske udgave af utroskabssiden Victoria Milan fik alle brugeres profilbilleder offentliggjort af hackere,« siger Bangsgaard.

Victoria Milan, der ikke tøver med at sende opfordrende e-mails til potentielle brugere, har imidlertid ikke reageret på hverken skriftlige eller telefoniske henvendelser fra Berlingske. Og det på trods af, at Victoria Milan tre aftener i træk, via et pop-up-vindue på hjemmesiden, fortæller, at der er 179.800 danske gifte, der leder efter en affære.

En anonym hacker fortæller til Berlingske, at et angreb som det på Ashley Madison kræver måneders forberedelse. Primært fordi forarbejdet skal laves uden at blive opdaget.

»De fleste angreb kræver, at man narrer nogen. Enten ved at få en til at klikke på et link, installere et værktøj eller give vital information. Når man har den, kan man angribe,« siger hackeren til Berlingske.

Ifølge Outpost24, som dagligt finder 12.000 sårbarheder, er mange virksomheder ikke er gode nok til at beskytte personlige oplysninger.

»Den gyldne regel, når det kommer til at lægge persondata ud på det store internet, er: læg aldrig noget op, som du i princippet ikke er 100 procent okay med at miste,« siger Bangsgaard.

Det er et budskab Brian Krebs er helt enig i.

»Lad være at lægge information på nettet, du ikke vil have ud. Før eller siden bliver alle hacket,« siger han.