Strona WordPress Multilingual została zhackowana: wyciekły e-maile

21 stycznia, 2019

Nie zawsze atakowany jest główny deweloper oprogramowania. Czasami lepiej włamać się do firmy dostarczającej usługi lub oprogramowanie dla głównego celu. I tak było teraz — twórcy wtyczki WordPress Multilingual dla WordPressa informują, że ich strona została zhackowana. Wyciekły informacje, które były zapisane na koncie zarejestrowanych użytkowników. Do włamania nie doszło na skutek użycia exploita w WordPressie, wtyczce WPML lub innym rozszerzeniu. Zawiodły wewnętrzne procedury albo ich brak.

Nie ma powodów do zwiększonego niepokoju — według oficjalnego komunikatu. Zhackowana została strona internetowa i w wyniku ataku doszło do wycieku danych klientów. Włamanie zostało sprowokowane starym hasłem do SSH, długo niezmienianym. Sprawcą incydentu był rzekomo ich były pracownik, który wcześniej zostawił sobie dodatkowe tylne furtki.

These are more precautions than actual response to the hack. Our data shows that the hacker used inside information (an old SSH password) and a hole that he left for himself while he was our employee.

Napastnik rozesłał za pomocą wewnętrznego programu używanego do newslettera niepokojące wiadomości o exploicie we wtyczce WPML. I niestety w wiadomości znajdowały się dodatkowe linki, które nie wiadomo co mogły zapoczątkować, ale zdaniem twórców wtyczki — nic dobrego.

Autorzy rozszerzenia zaktualizowali stronę wpml.org i pozbyli się słabych punktów. Wdrożyli logowanie za pomocą dwuskładnikowego uwierzytelnienia oraz przebudowali uprawnienia dostępu do plików na serwerze WWW.

Deweloperzy uspokajają społeczność w ten sposób:

  • Wtyczka WPML nie zawiera żadnego exploita.
  • Informacje o płatnościach za wtyczkę nie zostały naruszone (nie są przechowywane).
  • Agresor zdobył imię i nazwisko oraz adres e-mail zarejestrowanego użytkownika na stronie wpml.org.
  • Wyciekł także tzw. „sitekey”, klucze ID klienta końcowego uprawnionego do pobierania aktualizacji wtyczki ze strony wpml.org. Intruz nie ma możliwości wprowadzenia żadnych zmian na stronie klienta.

Zaleca się zresetowanie haseł oraz skonfigurowanie 2FA. Deweloperzy ostrzegają, że oszust wciąż może wysyłać e-maile w imieniu wpml.org i robić zamieszanie.

O dalszych krokach deweloper będzie informował na swojej stronie internetowej. Zainteresowane osoby mogą kontaktować się z producentem rozszerzenia za pomocą oficjalnego formularza lub zostawiając komentarz na blogu pod wpisem z incydentem.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]