Gracias a un mal RNG (random number generator, generador de números aleatorios). En concreto, la función mt_rand, que la propia documentación de PHP dice que no debe utilizarse para criptografía por no ser segura, se utiliza en What.CD para resetear contraseñas. El investigador que lo ha descubierto notificó a los operadores de What.CD hace casi un año. Aunque respondieron que se resolvería "pronto" lo cierto es que todavía es posible resolver problemas de ratio utilizando este hack.
Comentarios
Supongo que es muy peligro que el usuario, usuario,con contraseña usuario se haya descargado algún capítulo de Los soprano... Después de hacer su cuenta con un fiveminutesmail.