Gehackte datingsite Ashley Madison blijkt voor opportunisten, oplichters, chanteurs, spionnen en slachtoffers the gift that keeps on giving. Een beveiligingsonderzoeker die door de onlangs gelekte broncode van de overspelsite vlooide, vond daarin Amazon-tokens, inloggegevens voor databases en andere secrets die, wel, geheim hadden moeten zijn.

Serverhoppen makkelijk gemaakt

Onder meer applicatiespecifieke tokens, SSL-sleutels en OAuth-tokens (om te koppelen naar Twitter) staan in de broncode vermeld. Omdat credentials geprogrammeerd waren in de bron, was het voor aanvallers erg makkelijk om van systeem naar systeem binnen Ashley Madisons servers te springen en is het geen wonder dat ze eenmaal binnen echt overal bij konden.

Daarbij werden er volgens de onderzoeker wachtwoorden van vijf tot acht tekens gebruikt. De les voor andere ontwikkelaars: bewaar credentials op een aparte plek en zorg voor sterke wachtwoorden voor kritieke databasekoppelingen.