Broncode kapotgehackte datingsite blijkt hackersparadijs

Code bevat Amazon-tokens. En database credentials. En SSL-sleutels. En OAuth-tokens.

Het helemaal kapothacken van vreemdgangersite Ashley Madison bleek voor de aanvallers niet zo moeilijk toen ze eenmaal toegang hadden tot één systeem door uiterst slordige interne beveiliging.

Gehackte datingsite Ashley Madison blijkt voor opportunisten, oplichters, chanteurs, spionnen en slachtoffers the gift that keeps on giving. Een beveiligingsonderzoeker die door de onlangs gelekte broncode van de overspelsite vlooide, vond daarin Amazon-tokens, inloggegevens voor databases en andere secrets die, wel, geheim hadden moeten zijn.




Serverhoppen makkelijk gemaakt

Onder meer applicatiespecifieke tokens, SSL-sleutels en OAuth-tokens (om te koppelen naar Twitter) staan in de broncode vermeld. Omdat credentials geprogrammeerd waren in de bron, was het voor aanvallers erg makkelijk om van systeem naar systeem binnen Ashley Madisons servers te springen en is het geen wonder dat ze eenmaal binnen echt overal bij konden.

Daarbij werden er volgens de onderzoeker wachtwoorden van vijf tot acht tekens gebruikt. De les voor andere ontwikkelaars: bewaar credentials op een aparte plek en zorg voor sterke wachtwoorden voor kritieke databasekoppelingen.