Situs Ashley Madison Membocorkan Foto Pribadi & Eksplisit Pengguna
Pada tahun 2015, situs palsu Ashley Madison mengalami pelanggaran data dimana data pribadi 37 juta pengguna dicuri dan kemudian dijual di pasar web gelap. Efeknya sangat menghancurkan sehingga seorang kapten polisi pensiunan dari dinas kepolisian San Antonio City melakukan bunuh diri setelah alamat resminya ditemukan dalam data yang bocor.
Setelah kejadian tersebut, persepsi logisnya adalah bahwa ini adalah akhir dari Ashley Madison, namun kini ternyata situs tersebut masih sangat populer di sebagian kalangan untuk bersenang-senang. Menurut periset keamanan TI, situs web tersebut telah mengungkapkan data pribadi pengguna termasuk foto pribadi dan eksplisit karena pengaturan keamanan bawaannya yang cacat.
Situs Ashley Madison bekerja dengan cara yang memiliki dua jenis pilihan berbagi foto, satu untuk tampilan publik dan yang lainnya memungkinkan pengguna menyimpan foto mereka secara pribadi yang dilindungi oleh sebuah kunci. Satu-satunya cara seseorang dapat mengakses gambar pribadi seseorang di situs adalah dengan menerima kunci itu dari pengguna.
Namun, dalam penyelidikan bersama oleh tim Keamanan Kromtech dan peneliti keamanan independen Matt Svensson, diidentifikasi bahwa pengaturan default Ashley Madison berbagi satu kunci pengguna dengan pengguna lain jika mereka berbagi kunci mereka dengan mereka. Sederhananya, jika Anda membagikan kunci Anda dengan seseorang, kunci mereka akan dibagikan secara otomatis dengan Anda dan sebaliknya. Bukan itu; Begitu kunci diakses, pengguna dapat melihat foto melalui URL sementara mereka yang tidak pernah mendaftar ke Ashley Madison dapat mengakses gambar-gambar ini tanpa otentikasi.
Memang benar bahwa ini bukan kerentanan tapi setelah terjadi dengan pengaturan default atau "tirani default" seperti yang dinyatakan oleh para periset. Untuk membuktikan maksud mereka, para peneliti melakukan tes dengan memberi "kunci pribadi ke sampel acak pengguna yang memiliki gambar pribadi" dan menyimpulkan bahwa "26% pengguna memiliki gambar pribadi sementara 64% akun pengguna yang memiliki gambar pribadi secara otomatis dikembalikan kunci mereka. "