ข้อมูลเว็บ Ashley Madison ถูกปล่อยออกมาเดือนกว่า โดยก่อนหน้านี้เชื่อกันว่ารหัสผ่านที่หลุดออกมาพร้อมกับฐานข้อมูลมีความปลอดภัยสูงเพราะใช้การเข้ารหัสแบบ bcrypt ทำให้กระบวนการแกะแฮชน่าจะยากมาก แต่นักวิจัยที่ใช้ชื่อบนเว็บว่า CynoSure Prime ก็ออกมารายงานว่ามีบัญชีจำนวนหนึ่งมีข้อมูลรหัสผ่านที่แกะรหัสได้ง่ายอยู่ด้วย
ข้อมูลตัวแปร loginkey ที่สร้างก่อนกลางปี 2012 จะเป็นการแฮชด้วยฟังก์ชั่น MD5 โดยข้อมูลที่แฮชคือชื่อผู้ใช้และรหัสผ่าน ที่แย่กว่านั้นคือโค้ดกำหนดให้ปรับชื่อผู้ใช้และรหัสผ่านกลายเป็นอักษรเล็กก่อนแฮช ในซอฟต์แวร์บางเวอร์ชั่นมีการเพิ่มอีเมลและค่า salt เพิ่มเติมไปในการสร้าง loginkey อย่างไรก็ตาม ข้อมูล loginkey ที่ถูกแฮชอย่างไม่ปลอดภัยนี้มีทั้งหมดถึง 15.6 ล้านบัญชี ที่สามารถย้อนหาค่ารหัสผ่านเริ่มต้นได้
รายงานล่าสุดทาง CynoSure Prime ระบุว่าแกะรหัสออกมาได้แล้ว 11.7 ล้านบัญชี รหัสผ่านส่วนมากยาว 6-8 ตัวอักษร มีผู้ใช้ถึง 630,000 คนใช้ชื่อผู้ใช้เป็นรหัสผ่านโดยตรง ผู้ใช้บางคนใช้รหัสผ่านว่า correcthorsebatterystaple ตามการ์ตูน XKCD บางคนก็ตั้งรหัสเพิ่มคำขึ้นไปเรื่อยๆ เช่น mypasswordispassword
ตอนนี้ทาง CynoSure Prime ส่งสถิติรหัสผ่านต่างๆ ออกไปให้สื่อรายงานแล้ว
ที่มา - CynoSure Prime 1, 2, ArsTechnica