Взлом службы знакомств Plenty of Fish

Служба знакомств Plenty of Fish была взломана. В результате проведенного анализа аргентинским хакером Крисом Руссо (Chris Russo) на датинг-сайте Plenty of Fish была обнаружена уязвимость, приводящая к возможной утечке всей базы данных пользователей (около 30 млн. пользователей).

По результату анализа был составлен отчет, описывающий уязвимость и содержащий рекомендации по ее устранению. Отчет был отправлен руководителям и разработчикам социальной сети Plenty of Fish. Вместо благодарности, заботливый хакер получил письмо с угрозами, в которых его обвинили во взломе, краже информации и попытке продажи.

Уязвимость была связана с кривыми настройками веб-сервера и отсутствием проверки входных данных. Все это в совокупности привело к возможности получения полного доступа к базе данных путем исполнение MsSQL-команд при помощи 2-3 простых запросов. База данных содержала всю информацию об аккаунтах, включая пароль в открытом виде и реквизиты доступа к PayPal-счетам.

Описываемая уязвимость была закрыта, а пароли пользователей изменены.