Tusindvis af WordPress sites hacket, omdirigeret til tech support svindel
Skadelig kode, der omdirigerer brugerne til tech support svindel, hvoraf nogle bruge nye “onde markøren” Chrome fejl.
Google, firmaet bag WordPress.com blogging platform, sagde, at det rettet en fejl i den officielle iOS-applikation, der kunne have udsat brugere’ konto godkendelse poletter til tredjeparts websteder.
“Spørgsmålet skabt potentiale for at udsætte loginoplysninger til tredjeparts websteder, og kun påvirket private hjemmesider med billeder, der hostes eksternt (fx, med en service som Flickr), der er set eller sammensat med app’ en,” siger virksomheden i en e-mail sendt til sine brugere i denne uge.
“Vi har rettet problemet og udgivet en opdateret version af app’ en i App Store,” sagde det.
Også: Online-sikkerhed 101: Tips til at beskytte dit privatliv
Google sagde, at ingen brugernavne og passwords blev udsat for, men kun “security tokens, at app’ en bruger til at kommunikere/godkende WordPress.com.”
Dette betyder, at hvis en WordPress.com blog ejer, der anvendes iOS-app for at oprette eller redigere et blog-indlæg, som indeholdt et billede, der er hostet på et andet websted, så webstedet kan have modtaget WordPress.com security token ved et uheld.
Der er nu en fare for, at WordPress.com godkendelse tokens er i øjeblikket optaget i server logs på forskellige hjemmesider og online-tjenester, og som uetisk hjemmeside ejere eller ansatte, der kan gå på udkig efter disse kuponer i deres web-server logs.
Værdien af disse tokens er, at de kan bruges til at få adgang til en brugers WordPress.com konto uden adgangskode.
Self-hosted WordPress sites er ikke påvirket, da open-source versionen bruger sin selvstændige bruger systemet til at give brugere adgang til deres websteder, og ikke WordPress.com konti.
Google afslørede ikke i dybden med tekniske detaljer, ikke sige, hvordan de opdagede lækagen, og heller ikke sige, hvor mange brugere, der var påvirket.
En kopi af Automattic ‘ s e-mail er tilgængelig nedenfor:
Åh nej #wordpress #ios #securitytoken pic.twitter.com/3XeQPvwmD7
— Pablo Alejandro Gjerne ⌚️📱👨🏻💻 (@FainPablo) April 2, 2019
Mere data, brud dækning:
Indisk govt agentur venstre nærmere oplysninger om millioner af gravide kvinder udsat onlineBithumb cryptocurrency udveksling hacket for tredje gang i to yearsCard overtrædelse indberettes på Buca di Beppo, Planet Hollywood, og andre restaurantsToyota annoncerer andet brud på sikkerheden i de sidste fem uger
Over 13K iSCSI-storage klynger venstre udsat online uden en passwordCryptocurrency platforme DragonEx og CoinBene videregive hacksFacebook adgangskoder af de hundreder af millioner sad udsat i almindelig tekst CNET
Facebook data privacy skandale: Et cheat sheet TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre