Nie zawsze atakowany jest główny deweloper oprogramowania. Czasami lepiej włamać się do firmy dostarczającej usługi lub oprogramowanie dla głównego celu. I tak było teraz — twórcy wtyczki WordPress Multilingual dla WordPressa informują, że ich strona została zhackowana. Wyciekły informacje, które były zapisane na koncie zarejestrowanych użytkowników. Do włamania nie doszło na skutek użycia exploita w WordPressie, wtyczce WPML lub innym rozszerzeniu. Zawiodły wewnętrzne procedury albo ich brak.
Nie ma powodów do zwiększonego niepokoju — według oficjalnego komunikatu. Zhackowana została strona internetowa i w wyniku ataku doszło do wycieku danych klientów. Włamanie zostało sprowokowane starym hasłem do SSH, długo niezmienianym. Sprawcą incydentu był rzekomo ich były pracownik, który wcześniej zostawił sobie dodatkowe tylne furtki.
These are more precautions than actual response to the hack. Our data shows that the hacker used inside information (an old SSH password) and a hole that he left for himself while he was our employee.
Napastnik rozesłał za pomocą wewnętrznego programu używanego do newslettera niepokojące wiadomości o exploicie we wtyczce WPML. I niestety w wiadomości znajdowały się dodatkowe linki, które nie wiadomo co mogły zapoczątkować, ale zdaniem twórców wtyczki — nic dobrego.
Autorzy rozszerzenia zaktualizowali stronę wpml.org i pozbyli się słabych punktów. Wdrożyli logowanie za pomocą dwuskładnikowego uwierzytelnienia oraz przebudowali uprawnienia dostępu do plików na serwerze WWW.
Deweloperzy uspokajają społeczność w ten sposób:
- Wtyczka WPML nie zawiera żadnego exploita.
- Informacje o płatnościach za wtyczkę nie zostały naruszone (nie są przechowywane).
- Agresor zdobył imię i nazwisko oraz adres e-mail zarejestrowanego użytkownika na stronie wpml.org.
- Wyciekł także tzw. „sitekey”, klucze ID klienta końcowego uprawnionego do pobierania aktualizacji wtyczki ze strony wpml.org. Intruz nie ma możliwości wprowadzenia żadnych zmian na stronie klienta.
Zaleca się zresetowanie haseł oraz skonfigurowanie 2FA. Deweloperzy ostrzegają, że oszust wciąż może wysyłać e-maile w imieniu wpml.org i robić zamieszanie.
O dalszych krokach deweloper będzie informował na swojej stronie internetowej. Zainteresowane osoby mogą kontaktować się z producentem rozszerzenia za pomocą oficjalnego formularza lub zostawiając komentarz na blogu pod wpisem z incydentem.
Czy ten artykuł był pomocny?
Oceniono: 0 razy