Duizenden WordPress sites gehackt, doorgestuurd naar de technische ondersteuning van oplichting
Kwaadaardige code gebruikers doorverwijst naar de technische ondersteuning van oplichting, sommige van die nieuwe “kwaad cursor” Chrome bug.
Automattic, het bedrijf achter de WordPress.com blogging platform, zei dat het een bug in een van de officiële iOS-applicatie die kan zijn blootgesteld gebruikers account authenticatie tokens naar websites van derden.
“Het probleem gemaakt van het potentieel van het blootstellen van veiligheid referenties naar websites van derden, en alleen van toepassing op particuliere websites met afbeeldingen extern gehost (bijvoorbeeld bij een dienst als Flickr) die worden bekeken of samengesteld met de app,” aldus het bedrijf in een e-mail verzonden naar de gebruikers van deze week.
“We hebben het probleem opgelost en een bijgewerkte versie van de app naar de App Store,” zei hij.
Automattic zei geen gebruikersnamen en wachtwoorden werden blootgesteld, maar alleen “security tokens die de app gebruikt om te communiceren/verifiëren met WordPress.com.”
Dit betekent dat als een WordPress.com blog eigenaar gebruikt de iOS app voor het maken of bewerken van een blog post die een afbeelding die wordt gehost op een andere site, dan is die site zou hebben ontvangen van de WordPress.com security token door het ongeval.
Er is nu een gevaar dat WordPress.com authenticatie tokens zijn momenteel opgenomen in de server logs op verschillende websites en online diensten, en dat onethisch website-eigenaren of medewerkers kunnen op zoek gaan naar deze lopers in hun web server logs.
De waarde van deze munten is dat ze kunnen worden gebruikt om de toegang van een gebruiker WordPress.com account zonder wachtwoord.
Self-hosted WordPress sites worden niet beïnvloed, zoals de open-source versie maakt gebruik van de op zichzelf staand systeem gebruikers toegang verlenen tot hun sites, en niet WordPress.com accounts.
Automattic niet onthullen in-depth technische details, niet zeggen hoe ze ontdekte het lek, noch heeft zij zeggen hoeveel gebruikers werd beïnvloed.
Een kopie van Automattic e-mail is hieronder beschikbaar:
Oh nee #wordpress #ios #securitytoken pic.twitter.com/3XeQPvwmD7
— Pablo Alejandro Fain ⌚️📱👨🏻💻 (@FainPablo) April 2, 2019
Meer data breach dekking:
De indiase regering agentschap links details van miljoenen zwangere vrouwen die blootgesteld onlineBithumb cryptocurrency exchange gehackt voor de derde keer in twee yearsCard inbreuken gerapporteerd in Buca di Beppo, Planet Hollywood, en andere restaurantsToyota kondigt tweede inbreuk op de beveiliging in de laatste vijf weken
Over 13K-iSCSI-opslag clusters blootgesteld online zonder een passwordCryptocurrency platforms DragonEx en CoinBene bekendmaken hacksFacebook wachtwoorden door de honderden miljoenen zat blootgesteld in de platte tekst CNET
Facebook privacy van gegevens schandaal: Een cheat sheet TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters