Sikkerhedshul i Dating.dk gav adgang til GPS-position og private samtaler

677.000 brugeres personlige samtaler på Dating.dk har været blottet for hackere. Også brugerens præcise position kan aflæses.

Foto: dating.dk

Hvis du tror den intime samtale under din digitale date er sikkert skjult for nysgerrige blikke, kan du godt tro om igen. Torsdag den 31. maj erfarer Version2, at der er et alvorligt sikkerhedshul i Dating.dk.

Hullet giver ikke alene kodekloge gratis adgang til en række betalingsfunktioner, men også til andre brugeres private beskeder og gps-koordinater.

Sikkerhedsfejlen er opstået under udviklingen af dating-tjenestens smartphone-app. For at app’en kan hive informationer ud fra hjemmesiden og ned på mobilen, skal den have adgang til sidens funktioner. Det sker igennem et såkaldt Application Programming Interface, eller API i daglig tale. Men API'et tjekker ikke, om en given bruger rent faktisk har adgang til data og funktioner, som bliver kaldt.

Hullet er ikke noget, almindelige brugere kan udnytte, da den officielle app ikke leder efter andres private data. Version2 har fået demonstreret, hvordan en lille webapplikation kan trække private informationer ud af systemet.

Sådan kom fejlen frem

»Min første tanke var: ’Det er godt nok dumt’«, siger en anonym kilde til Version2. Han er til daglig webudvikler og opdagede hullet ved et tilfælde, da han gennemgik sin internettrafik.

Han er selv bruger på Dating.dk og så derfor i sin trafik, hvordan hans smartphone kommunikerer med Dating.dk. Af nysgerrighed tastede han adressen ind til API’et i sin browser og opdagede, at den var tilgængelig for ham.

Derefter var det bare at bygge en webapplikation, som kunne udnytte de funktioner, som Dating.dk’s egen applikation begrænser af sikkerhedsmæssige og kommercielle årsager. I første omgang ville han prøve at læse beskeder tilsendt til sin egen profil. En funktion der normalt koster penge. Men da han kopierede beskedens identifikationsnummer ind for at få sin egen app til at læse beskeden, glemte han det sidste ciffer. Til hans store overraskelse kom en helt anden profils samtale frem på skærmen.

Af nysgerrighed prøvede han flere funktioner, og han opdagede blandt andet, at man kunne se andre profilers GPS-koordinater. En funktion, der kun er tilgængelig for brugere i nærheden af andre brugere, men her kunne han altså se koordinater for folk uanset, hvor de befandt sig.

Version2 har før publiceringen af denne artikel kontaktet Dating.dk og gjort opmærksom på sikkerhedshullet. En time efter var hullet, der gjorde beskedlæsning mulig, lukket.

»Jeg blev overrasket, da vi har haft meget fokus på at det her ikke kan ske. Så jeg ringede straks til en af vores udviklere, som havde rettet det meste af fejlen inden for en time,« siger chefudvikler, Niels Thrane, til Version2.

Funktionaliteten, der gør det muligt at finde andre brugeres GPS-position, er stadig tilgængelig.

Det er ikke første gang, Dating.dk's lokations-funktionalitet vækker kritik. I januar kom det frem, at mange dating.dk-brugere uden deres vidende afslørede deres position og bopæl over for andre brugere -noget, som mange frygtede ville være et effektivt værktøj i hænderne på skumle stalker-typer. Den gang lovedede direktør Morten Wagner at gøre funktionen mere upræcis, så man for eksempel kun kunne se, hvilket postnummer, brugeren befandt sig i.

Ifølge Dating.dk viser de seneste logfiler, at ingen andre end Version2’s kilde har opdaget det omtalte sikkerhedshul.

Deltag i debatten på version2.dk