En militär datingsida som attackerades av hackare i mars hade allvarliga säkerhetsbrister, har en rapport funnit.

MilitarySingles.com, vars användaruppgifter dumpades online av Lulzsec hacktivists, misslyckades med att förhindra uppladdning av skadligt användarinnehåll och krypterade inte sin lösenordsdatabas korrekt, enligt datasäkerhetsföretag Imperva.

Rapporten drar slutsatsen att användargenererat innehåll inte bara är livsnerven för det moderna internetet utan även dess Achilleshäls.

Men Rob Rachwald, företagets chef för säkerhetsstrategi, säger att metoderna och målen för hackarna återspeglar de stora företag som Google och Facebook.

När Facebook-aktier strömmar in på den offentliga marknaden, handlar det om att handla på värdet av användarnas personliga uppgifter, hackare lägger sitt eget pris på de stora mängder data som internetföretag håller.

"Jag har en massa nördar som arbetar för mig som gillar att göra den här typen av saker", säger Rachwald, en 42-årig californisk som kom i säkerhet när han såg att Intel-designspecifikationer såldes på Tai Peis gator för 300 dollar en bit.

"Vissa gillar att gå på bio, vissa människor gillar att läsa en bok, och vissa människor gillar att hacka."

Imperva:

"Företagen är i en pre-pubescent fas när det gäller att skydda lösenord ordentligt."

Den 26 mars i år, hackare under Lulzsec-banan - en offshoot av den breda kyrkans pseudo-rörelse som kallas anonym (Rachwald kallar det för "global disorganisation") - dumpas över 170 000 kontouppgifter på nätet.

Den första Lulzsec var ansvarig för en våg av onlineventiler förra året, men hade gått tyst efter att en ledande medlem, Sabu, hade samverkats som FBI-informant, vilket ledde till gripandet av tre kamrater. Nu är det tydligen tillbaka - eller någon som använder sitt namn.

Rachwalds "geeks" undersökte webbplatsen MilitarySingles ("använder fullständigt juridiska medel", noterar han) och hittade en rad sårbarheter som gjorde det lätt att smyga skadlig kod på sina servrar.

Centralt för hacket, Rachwald hävdar, var en metod som kallas Fjärrfilintegration. RFI innebär att smyga skadlig kod på en filserver genom att dölja den som eller bifoga den till legitimt innehåll.

I Web 2.0-applikationer säger Rachwald att användare som laddar upp innehåll inte kan undvikas. "Tänk dig en Facebook där du inte kunde skicka bilder eller maila var du inte kunde byta bilagor", säger han.

MilitarySingles hade ett filter för att sluta detta hända. I teorin skulle bara bildfiler som jpeg, gifs och pngs accepteras. Men filtret tittade på filtillägg, inte själva filen, vilket betyder att "malware.php.jpg" skulle komma igenom.

Filtret var också programmerat för att kontrollera metadata som skickades av användarnas webbläsare om vilken typ av innehåll de laddat upp. Men eftersom sådana data styrs från användarens egen dator kunde hackarna manipulera uppladdningen efter att ha lämnat sin maskin genom att dirigera filen via en proxy - och lura filtret för att acceptera det.

Imperva kunde hitta register över skurna php-filer som laddades upp till MilitarySingles-filservern.

Nu hade Lulzsec tillgång till känsliga detaljer - fullständiga namn, adresser, e-postadresser och loggade interaktioner - om varje användare. Men i sådana databaser är lösenorden vanligtvis krypterade.

Tyvärr för MilitarySingles var de inte krypterade bra. Webbplatsen använde en föråldrad krypteringsmetod, MD5, som hade brutits 2004.

Det hjälpte inte att användarna fick välja mycket enkla lösenord som skulle ta lite tid eller processorkraft att avkoda. Det vanligaste lösenordet, som användes 763 gånger, var "123456". "Password", "iloveyou" och "military" kom efteråt medan andra vanliga lösenord inkluderade "marines", "jennifer" och "freedom".

Rachwald hävdar att RFI-svagheter är "särskilt akuta för PHP" - som används i 75-77 procent av webbplatser online idag, inklusive Facebook, Wordpress, Wikipedia och kinesisk sökmotor Baidu. Språket utformades på 90-talet för att möjliggöra den typ av dynamiska webbsidor som sociala nätverk bygger på.

Letar efter exploater

Av flera miljoner cyberattacker som följdes av Imperva utnyttjade omkring 20 procent RFI och dess nära släkting, Local File Inclusion.

Sårbarheten är inte inneboende för PHP, men Rachwald anser att eftersom språket är enkelt för oerfarna kodare att hämta, används det ofta dåligt. Han säger: "PHP är billigt, det är enkelt att distribuera, men det är också lätt att göra en massa säkerhetsfel.

"Det här är en stor mjuk underbelly för många organisationer, och de är inte ens medvetna om det. Företagen är i en förkroppslig fas när det gäller att skydda lösenorden ordentligt."

Men hur mycket data är verkligen ute för att stjäla? År 2011 använde en österrikisk lagstudent, Max Schrems, EU: s lagstiftning om dataskydd för att kräva Facebook ge honom en kopia av all data de höll om honom. Vad CD-skivan de skickade till honom innehöll var en 1200-sidig fil som beskriver varje vänskap och vänskap, varje "som", varje poke, varje RSVP och många detaljer som han inte faktiskt hade lagt fram. Inte allt var på honom; några var från hans vänner.

New Yorker-journalisten Ken Auletta, som profilerade Larry Page och Sergey Brin i sin 2009-bok Googled: Världens ände som vi vet, tror inte att företagen gör tillräckligt för att skydda sina användares data.

"De flesta digitala företag samlar in information om användarnas berg," säger han. "Annonsörer begär denna information eftersom den är mycket mer granulär än de data de kommer ifrån, säg, skriva ut publikationer eller sändningar."