广受欢迎WordPress插件,安装在数千个网站上,帮助用户在社交媒体网站上共享内容,左链接。推特暴露在妥协之下的账户。
插件,社交网络标签,在WordPress网站的源代码中存储所谓的帐户访问令牌。任何查看源代码的人都可以看到链接的Twitter句柄和访问令牌。这些访问令牌可以让您登录到您的手机和计算机上的网站,而无需每次重新键入您的密码或输入您的双因素身份验证代码。
但是如果被盗,大多数网站无法区分帐户所有者使用的令牌和盗取令牌的黑客。
法国安全研究员巴普蒂斯特·罗伯特在线处理Elliot Alderson,找到该漏洞并与TechCrunch共享详细信息。他后来推特细节星期四的窃听器。
为了测试这个漏洞,Robert通过搜索找到了539个使用易受攻击代码的网站。公共WWW,网站源代码搜索引擎。然后他写道概念证明脚本它从受影响的网站上收集了公开可用的代码,在400多个链接的Twitter账户上收集访问令牌。
使用获得的访问令牌,Robert测试了他们的权限,将这些帐户引导到他选择的超过100次的推特上。这证实了公开的帐户密钥具有“读/写”访问权限-有效地使他或恶意黑客完全控制了Twitter帐户。
在这些易受攻击的账户中,包括几个经过核实的Twitter用户和几个拥有数万名粉丝的账户、佛罗里达州的一家警长办公室、俄克拉荷马州的一家赌场、辛辛那提的一个室外音乐场所等等。
罗伯特在12月1日告诉twitter,这个第三方插件中的漏洞,促使这家社交媒体巨头撤销了这些密钥,再次保证了账户的安全。Twitter还通过电子邮件向受影响的用户发送了WordPress插件安全漏洞的邮件,但当联系到时,Twitter没有对这一记录发表评论。
Twitter尽了自己的一份力量-当安全问题超出了它的控制范围时,它所能做的就太少了。任何仍在使用该插件的WordPress用户应该立即删除它,更改他们的Twitter密码,并确保应用程序是从Twitter连接的应用程序中删除使令牌无效。
设计化学,一家位于曼谷的软件公司,开发了这个bug插件,在发布之前没有回复评论请求。
在它的网站上,它说这个七年的插件已经被下载了超过5.3万次。这个插件上一次更新是在2013年,至今每天仍有数十次下载。