Инсталиран на повече от 1 милион WordPress сайтове, плъгин регистрира паролите в открит вид
Популярният плъгин за сигурност All-In-One Security (AIOS), предопределен за WordPress-сайтовете, е конфигуриран на повече от 1 милион уеб-ресурси. Оказа се, че плъгинът е записал потребителските пароли в елементарен текст в продължение на няколко седмици и ги е съхранявал в база данни, налични за админите на уеб страницата. За да поправят този проблем, разработчиците пуснаха кръпка.
AIOS улавя потребителските пароли в процеса на регистрация. Според разработчиците записването на паролите в елементарен текст се дължи на софтуерен бъг, изработен в кода на AIOS 5.1.9, пуснат през май тази година. През актуалната седмица разработчиците пуснаха AIOS 5.2.0, след инсталирането на който казусът със записа на паролите ще бъде решен и информацията, добавена по-рано в базата данни, ще бъдат изтрита.
Говорител на разработчиците на AIOS удостовери, че “трябва да сте влезнали с административни привилегии от най-високо равнище, с цел да се възползвате от този бъг “’ Експертите по осведомителна сигурност обаче от дълго време поучават админите на уеб сайтове да не съхраняват паролите в чист текст. Това се дължи на обстоятелството, че в продължение на доста години за хакерите е било относително елементарно да проникват в уеб страниците и да крадат информация, съхранявана в базите данни. В този подтекст, записването на паролите в чист текст във всяка база данни, без значение кой има достъп до нея, е нарушаване на сигурността.
По този метод, плъгинът AIOS фиксира потребителските пароли в явен текст за най-малко три седмици, до момента в който един от потребителите на софтуера не вижда тази специфичност. Заедно с стартирането на новата версия на плъгина, разработчиците се извиниха на потребителите за грешката и предложиха AIOS да се актуализира до версия 5.2.0 допустимо най-скоро.
