Служба знакомств Plenty of Fish стала жертвой хакеров и собственного
руководителя. В результате проведенного анализа аргентинским хакером Крисом
Руссо на веб-сайте Plenty of Fish была обнаружена уязвимость, приводящая к
возможной утечке всей базы данных пользователей (около 30 млн. пользователей).
По результату анализа был составлен отчет, описывающий уязвимость и содержащий
рекомендации по ее устранению. Отчет был отправлен руководителям и разработчикам
социальной сети Plenty of Fish. Кроме того, Крис упомянул в письме, что
уязвимость широко используется разными злоумышленниками для получения
пользовательских данных, так как уязвимость очень проста в эксплуатации.
Уязвимость была связана с некорректными настройками веб-сервера и отсутствием
проверки входных данных, которые приводили к возможности получения полного
доступа к базе данных пользователей через исполнение MsSQL-команд. База данных
пользователей содержала всю информацию об аккаунтах, включая пароль в открытом
виде и реквизиты доступа к PayPal-счетам.
Вместо благодарности, заботливый хакер получил письмо с угрозами, в которых
его обвинили во взломе, краже информации и попытке сбыта ее на "черном" рынке и
шантаже. Описываемые Крисом Руссо уязвимость была закрыта, а пароли
пользователей изменены.
По мнению независимых наблюдателей, высказанные претензии к хакеру являются в
большей степени вымыслом, который создатели Plenty of Fish захотели использовать
в качестве рекламы своего проекта. Исследователи компьютерной безопасности
утверждают, что это далеко не первый случай обнаружения уязвимостей на веб-сайте
Plenty of Fish, а факт хранения паролей в открытом виде лишь доказывает
предположение о низком уровне программного кода и отсутствие каких-либо средств
защиты информации.