Nätportalen Spray utsattes i förra veckan av en attack från hackare. Via en dold sida och med någons användarnamn har det gått att få fram lösenord till Sprays medlemmar.

– Det gäller hela vår medlemsdatabas, inklusive mejl, spraydate och webbhotell, säger Fredrik Pallin, presschef på spray.se.

Enligt företaget har 200 sökningar gjorts på söksidan med lösenord till drygt en miljon konton. Företaget vet i dagsläget inte vad det är som sökts efter och om någon medlem har drabbats. Man poängterar att attacken är begränsad men har medgett att det teoretiskt sett har varit möjligt att kunna komma åt alla användares lösenord.

– Nu har vi ringat in problemet. Vi har gått från klarhet till klarhet i det här, säger Fredrik Pallin.

I efterdyningarna av attacken har det visat sig att två brott har begåtts. Förutom lösenorden har någon lyckats stjäla uppgifter om 54 000 aktiva konton till Sprays tjänst för gratis hemsida. Ägarna till dessa konton söks nu febrilt av Spray. Enligt tidigare uppgifter från företaget är det endast hemside-innehavarna som kan anses vara drabbade av attacken. Även e-postkunder rekommenderas att byta lösenord.

All medlemmars lösenord har lagrats helt okrypterade i Sprays databas, någonting som ska åtgärdas. Men för åtminstone e-posttjänsten kommer det dröja till i sommar, när Lycos som hittills har stått för driften kastas ut.

– Det systemet har inte kunnat kryptera, något som vi länge har velat ändra men vi har suttit fast i avtal. Till sommaren ska vi ha bytt mailleverantör, säger Fredrik Pallin.

Användare vittnar om att det just nu är problem att byta sitt lösenord men Spray lovar att det bara är tillfälligt och beror på för hög belastning.

I och med att över en miljon kontouppgifter fanns tillgängliga är det det största i den långa rad av hack som den senaste tiden har drabbat bland andra Bilddagboken, Svenska Dataföreningen, Aftonbladet och Mecenat.

Hackarna lyckades enligt Fredrik Pallin att ta sig in genom en dold sida som Spray inte längre använder.

– Det var en gammal undersida på någon tjänst, säger Fredrik Pallin.

Sidan där vem som helst kunde komma åt lösenorden lades upp i förra veckan, men blev känd först i söndags. Spray har polisanmält attacken.

Har du konto hos Spray?
Det är inte längre tillåtet att rösta.