Консультант по безопасности Габор Сатмари (Gabor Szathmari) сообщил о том, что взлом сайта знакомств для супружеской измены Ashley Madison был осуществлен успешно предположительно из-за невнимательности разработчиков ресурса. По словам специалиста, исходный код ресурса Ashley Madison содержал токены AWS, базу данных учетных записей, сертифицированные закрытые ключи и другую персональную информацию.
Сатмари отметил, что опасность токенов AWS заключается в том, что единичная кибератака хакерской группы Impact Team могла привести к краху всех систем Ashley Madison. Эксперт также обнаружил, что большинство паролей к учетным записям содержали от 5 до 8 знаков, в которых использовались только два класса символов.
К другим погрешностям разработчиков Ashley Madison Сатмари приписал хранение в исходном коде учетных данных Twitter OAuth, закрытый ключ SSL-сертификата и различные проблемно-ориентированные токены. Эксперт настоятельно рекомендует всем операторам сайтов более серьезно относиться к проверке исходного кода.
Напомним, в конце июля текущего года The Impact Team удалось похитить клиентские базы AshleyMadison, данные кредитных карт пользователей, а также внутренние конфиденциальные документы канадской компании Avid Life Media, которой принадлежат сайты знакомств AshleyMadison, Cougar Life и Established Men. В начале августа хакеры опубликовали в Сети 10 ГБ данных, скомпрометированных в ходе кибератаки. Вполне вероятно, что самоубийство, совершенное жителем города Сан-Антонио, США, может быть связано со взломанным сайтом знакомств.
securitylab.ru