Tusentals WordPress webbplatser hackade, omdirigeras till teknisk support bedrägerier
Skadlig kod som omdirigerar användare till teknisk support bedrägerier, några av som använder nya “onda markören” Chrome fel.
Automattic, företaget bakom WordPress.com blogging plattform, sa att det fixade en bugg i sin officiella iOS-applikation som kan ha utsatt användares konto authentication tokens till tredje parts webbplatser.
“Problemet skapat förutsättningar för att exponera säkerhet referenser till tredje parts webbplatser, och bara påverkas privata webbplatser med bilder värd externt (till exempel, med en tjänst som Flickr) som ses eller sammansatt med appen,” sade företaget i en e-post skickas till användarna den här veckan.
“Vi har fixat problemet och släppt en uppdaterad version av appen på App Store”, sägs det.
Även: Online-säkerhet 101: Tips för att skydda din integritet
Automattic sa nej användarnamn och lösenord var utsatt, men bara “säkerhetstoken som appen använder för att kommunicera/autentisera med WordPress.com.”
Detta innebär att om en WordPress.com blogg ägare används för iOS-app för att skapa eller redigera ett inlägg på bloggen som innehöll en bild som lagras på en annan plats, så att webbplatsen kan ha fått WordPress.com säkerhetstoken av en slump.
Det finns nu en risk för att WordPress.com authentication tokens är för närvarande registreras på servern loggar in på olika webbplatser och online-tjänster, och att oetiska webbplats ägare eller anställda kan gå på jakt efter dessa polletter i webbserverloggar.
Värdet av dessa tokens är att de kan användas för att få åtkomst till en användares WordPress.com konto utan lösenord.
Self-hosted WordPress webbplatser som inte är påverkade, som open-source-version använder själv står användaren för att ge användare tillgång till sina webbplatser, och inte WordPress.com konton.
Automattic inte avslöja djupgående tekniska detaljerna, inte säga hur de upptäckte läckan, inte heller säga hur många användare påverkades.
En kopia av Automattic e-post finns nedan:
Åh nej #wordpress #ios #securitytoken pic.twitter.com/3XeQPvwmD7
— Pablo Alejandro Fain ⌚️📱👨🏻💻 (@FainPablo) April 2, 2019
Mer dataintrång täckning:
Indian govt byrån lämnade uppgifter om miljontals gravida kvinnor som utsätts onlineBithumb cryptocurrency utbyte hackad tredje gången på två yearsCard brott redovisas på Buca di Beppo, Planet Hollywood, och andra restaurantsToyota meddelar andra brott mot säkerheten under de senaste fem veckorna
Över 13K iSCSI-lagring kluster vänster utsatt online utan en passwordCryptocurrency plattformar DragonEx och CoinBene avslöja hacksFacebook lösenord genom de hundratals miljoner lör utsatta i klartext CNET
Facebook data integritet skandal: En lathund TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter