Тут писали уже про т. н. rutvit? Ну так вот, разумеется эти молодцы взяли тот же самый дырявый движок, с сайта на котором год назад слили несколько десятков фоток паспортов
Тогда несколько факторов совпало, от наличия SQL-инъекций и хеширования паролей без соли и до того, что пароль администратора за пару минут подобрали по словарю Интересно, что из этого успели пофиксить за год