El ataque al popular sitio para citas Adult FriendFinder ha revelado prácticas no adecuadas de seguridad, entre las cuales se encuentra la aún existencia de cuentas de usuarios que solicitaron borrar su cuenta.
Parece ser que el ataque ocurrió el mes pasado mediante la explotación de una vulnerabilidad LFI (Local File Inclusion) en los servidores de Adult FriendFinder. La vulnerabilidad permite insertar en la salida de una aplicación a los archivos ubicados en otros lugares en el servidor.
LeakedSource lo ha calificado como el mayor ataque de 2016. Se han expuesto más de 412 millones de cuentas de usuario, incluyendo:
- 339,774,493 cuentas de usuario de adultfriendfinder.com
- 62,668,630 cuentas de usuario de cams.com
- 7,176,877 cuentas de usuario de penthouse.com
- 1.423,192 cuentas de usuario de stripshow.com
- 1,135,731 cuentas de usuario de icams.com
- 35.372 cuentas de usuario de un dominio desconocido
La divulgación de los datos reveló la existencia de 15 millones 766 mil 727 cuentas de usuarios borradas pero que aún existían en las bases de datos. Las cuentas estaban identificadas con el formato email@address.com@deleted1.com, es decir sólo estaban marcadas como borradas, nunca fueron realmente eliminadas de las bases de datos.
Se ha revelado que habían contraseñas en texto plano y también cifradas pero con el algoritmo inseguro SHA-1.
- AdultFriendFinder.com
- 103,070,536 contraseñas en texto claro
- 232,137,460 contraseñas cifradas con SHA1
- Cams.com
- 21,422,277 contraseñas en texto claro
- 41,209,412 contraseñas cifradas con SHA1
- Penthouse.com
- 495,720 contraseñas en texto claro
- 6,678,239 contraseñas cifradas con SHA1
- Stripshow.com
- 342,889 contraseñas en texto claro
- 1,080,303 contraseñas cifradas con SHA1
- iCams.com
- 272,409 contraseñas en texto claro
- 863,317 contraseñas cifradas con SHA1
Tras el ataque el 99% de todas las contraseñas son ahora visibles en texto plano.
En la base de datos de AdultFriendFinder.com las 5 contraseñas más utilizadas son “123456”, “12345”, “123456789”, “12345678”, y “1234567890”.
En mayo de 2015 Adult FriendFinder tuvo otro ataque que resultó en la divulgación de datos de 3.9 millones de usuarios.