یک افزونه محبوب برای سازنده وبسایت وردپرس با بیش از یک میلیون کاربر در حال ذخیره گذرواژههای کاربر به صورت متن ساده و در دسترس مدیران وبسایتها برای خواندن هر زمان که بخواهند دستگیر شد.
گزارشی در Ars Technica نشان میدهد که افزونه مورد بحث، به نام All-In-One-Security (AIOS) روی حداقل یک میلیون وبسایت نصب شده است.
در اوایل این هفته، توسعه دهندگان آن نقص را تأیید کردند و گفتند که این یک اشکال در نسخه 5.1.9 این افزونه است. اکنون نسخه 5.2.0 وجود دارد و به کاربران توصیه می شود فورا افزونه خود را به روز کنند. توسعه دهندگان گفتند علاوه بر جلوگیری از ذخیره رمزهای عبور کاربر در متن ساده، این وصله همچنین داده های مشکل ساز را از پایگاه داده حذف می کند.
ادمین های سرکش
نماینده این شرکت در گفتگو با Ars Technica از طریق ایمیل، سعی کرد این نقص را کم اهمیت جلوه دهد و گفت که رمزهای عبور فقط برای مدیران موجود است. و هنگامی که یک ادمین سرکش میشود (یا حسابش به سرقت میرود/به خطر میافتد)، این مشکل به همان اندازه است: «بهدست آوردن هر چیزی از این نقص مستلزم ورود به سیستم با بالاترین امتیازات اداری یا معادل آن است. یعنی میتواند توسط یک ادمین سرکش که میتواند چنین کارهایی را انجام دهد، زیرا او یک مدیر است، مورد سوء استفاده قرار گیرد.
اما هیچ کس هرگز نباید به رمز عبور کسی دسترسی داشته باشد. در پایان روز، هکرها می توانند از این رمزهای عبور در سایر پلتفرم ها و سرویس ها نیز استفاده کنند. بسیاری از کاربران در بسیاری از سرویسها برای ورود به سیستم یکسانی استفاده میکنند، و نقض یکی ممکن است به معنای نقض بسیاری از خدمات باشد.
با این حال، توسعه دهندگان AIOS بابت این اشتباه عذرخواهی کردند و نکاتی را در مورد کارهای بعدی که مدیران باید انجام دهند ارائه کردند. این شامل بهروزرسانی همه افزونههای وردپرس، فعال کردن احراز هویت چند مرحلهای (MFA) در صورت امکان، و تغییر منظم رمزهای عبور است.
Ars Technica یادآوری میکند که مورد دوم دیگر استاندارد صنعتی در نظر گرفته نمیشود، زیرا برخی تحقیقات نشان میدهند که تغییر منظم رمز عبور میتواند بیشتر از اینکه مفید باشد، ضرر داشته باشد.
از طریق: Ars Technica
آخرین دیدگاهها