Utredningarna efter de senaste veckornas dataintrång mot communities som Bilddagboken och Efterfesten pågår nu för fullt och enligt uppgift har de alla kunnat ske genom så kallade sql injections, en attackmetod som är känd sedan länge.

Marcus Gners, marknadsansvarig på Bilddagboken, betonar att hela webbplatsen har fått sig en säkerhetsgenomgång de senaste månaderna, men bekräftar att sql injections är ett av spåren man nu undersöker.

Även Efterfesten har spårat säkerhetsluckan till en tredjepartsprogramvara för filuppladdning, en typ av mjukvara som fel utformad kan öppna för samma typ av attack.

En sql injection betyder att utvecklaren bakom webbapplikationen har glömt – eller struntat i – att kontrollera den data som användaren kan skicka via formulär eller adressfältet. När datan används för att utforma en förfrågan till databasen kan den, rätt utformad, begära ut eller ändra helt annan information än vad som är tänkt. Till exempel kan e-postadresser bytas ut och lösenorden kan sedan skickas med den vanliga funktionen för lösenordspåminnelse.

– Man måste betrakta all indata som elak, säger Per Hellqvist, säkerhetsexpert på Symantec.

Även om de stora webbplatserna med hundratusentals användare har fått mest uppmärksamhet är problemet större än så. På nätforum letar mer eller mindre kunniga hackare efter samma typ av säkerhetshål och sammanställer listor över sårbara webbplatser.

Anne-Marie Eklund Löwinder, ansvarig för informationssäkerhet på II-stiftelsen, har tidigare påpekat hur säkerhetsfrågor försummas i utvecklingen.

– Det här ett typexempel på dåligt sammansatta applikationer. Man har inte lagt något skyddslager mellan sql-anropen och applikationen.

Stressad utveckling kan vara en orsak till att den data som skickas från användaren inte verifieras, tror hon.

– ”Time to market” blir viktigare än allt annat. Den här typen av ogenomtänkta lösningar visar på brister i kravställandet och brister i självständigt tänkande hos den som utvecklar. En bra utvecklare skulle gå tillbaka och säga att man inte kan göra så här.

Nu är det dags att börja se sig om efter andra säkerhetslösningar än användarnamn och lösenord, menar hon. OpenID, lösningen som Yahoo nyligen ställde sig bakom, eller den mer standardiserade Shibboleth, kan vara vägen att gå. Båda gör det möjligt att ha ett enda konto hos en betrodd leverantör som kan användas på många webbplatser.

– Lösenord har överlevt sig själv. Det finns modernare lösningar, säger Anne-Marie Eklund Löwinder.