Исходный код Ashley Madison продолжает будоражить сообщество. Любопытный анализ, опубликованный репортерами Gizmodo, выявил, что бурная жизнь на сайте — не более чем имитация, так как большая часть женщин на сайте — боты.

Исследователь из Лондона Габор Шатмари (Gabor Szathmari ) потратил «примерно десять минут» на анализ исходного кода и обнаружил несколько ошибок, которые потенциально могли облегчить взлом для хакеров из Impact Team, хотя и неясно, явились ли они причиной одной из самых масштабных утечек года. По словам Шатмари, в исходный код прописаны такие секретные сведения, как AWS-токены, части базы данных и приватные SSL-ключи.

В частности, AWS-токены представляют собой особую опасность: проникнув в системы Ashley Madison, хакеры могли использовать эту информацию для дальнейшей компрометации инфраструктуры.

Также, очевидно, разработчики Ashley Madison не особо уважали длинные пароли: из анализа базы данных ясно, что значительная часть имеющихся в коде паролей бесспорно слабы — их длина составляет от пяти до восьми знаков, к тому же такие пароли включают не более двух классов символов. Есть еще ряд грубейших ошибок: например, данные сквозной авторизации через Twitter, приватные ключи SSL-сертификатов и другие токены приложений также были прописаны в коде.

Взлом Ashley Madison, организованный неизвестной кибергруппировкой Impact Team, скомпрометировал данные миллионов пользователей. После того как владелец сайта, компания Avid Life Media, не подчинился требованиям шантажистов, желающих прекращения работы Ashley Madison, злоумышленники выложили в Сеть данные о пользователях, исходный код сайта, а также личную переписку сотрудников компании. Пока неясно, кто стоит за атакой, но следователи объявили награду $500 тыс. за любые сведения  о причастных.

Категории: Уязвимости, Хакеры