RẰNG RẰNG —
một
AIOS tự giới thiệu như là một giải pháp bảo mật “tất cả trong một”. Một lỗi vừa được sửa đã làm hỏng điều đó.
Dan Goodin –
Hình ảnh Getty
All-In-One Security, một plugin bảo mật WordPress được cài đặt trên hơn 1 triệu trang web, đã phát hành một bản cập nhật bảo mật sau khi bị phát hiện ba tuần trước ghi lại mật khẩu văn bản và lưu trữ chúng trong một cơ sở dữ liệu có thể truy cập bởi quản trị viên trang web.
Mật khẩu được ghi khi người dùng của một trang web sử dụng plugin, thường được viết tắt là AIOS, đăng nhập, nhà phát triển của AIOS đã nói thứ Năm. Nhà phát triển đã nói rằng việc ghi lại là kết quả của một lỗi được giới thiệu vào tháng 5 trong phiên bản 5.1.9. Phiên bản 5.2.0 phát hành thứ Năm sửa lỗi này và cũng “xóa dữ liệu có vấn đề từ cơ sở dữ liệu”. Cơ sở dữ liệu này có sẵn cho những người có quyền truy cập quản trị vào trang web.
Một vi phạm bảo mật lớn
Một đại diện của AIOS đã viết trong một email rằng “để có được bất cứ điều gì từ lỗi này, bạn cần đăng nhập với các quyền quản trị cao nhất hoặc tương đương. Tức là nó có thể bị tấn công bởi một quản trị viên độc ác mà đã có thể làm những điều như vậy vì anh ta là một quản trị viên.”
Tuy nhiên, các nhà thực hành bảo mật đã lâu lâu cảnh báo quản trị viên không bao giờ lưu trữ mật khẩu dưới dạng văn bản, cảm nhận được độ dễ dàng của hacker đã có trong nhiều thập kỷ để đột nhập vào các trang web và lấy dữ liệu được lưu trữ trên chúng. Trong bối cảnh này, viết mật khẩu văn bản vào bất kỳ loại cơ sở dữ liệu nào – không quan tâm ai có quyền truy cập vào nó – đại diện cho một vi phạm bảo mật lớn.
Duy nhất cách lưu trữ mật khẩu được chấp nhận trong hơn hai thập kỷ là dưới dạng một băm mã hóa được tạo ra bằng một thuật toán thường được định nghĩa là chậm, có nghĩa là nó yêu cầu thời gian và tài nguyên tính toán trên trung bình trở lên để bị gãi mở. Biện pháp này hoạt động như một chế độ bảo hiểm. Nếu một cơ sở dữ liệu bị đ
Để cung cấp giao diện và tính năng mở rộng cho trang web, bất kỳ webmaster nào cũng có thể tạo ra các phần mở rộng kinh điển cho WordPress bằng công cụ đặc biệt. Tuy nhiên, một plugin WordPress đã được cài đặt trên hơn 1 triệu trang web đã ghi lại các mật khẩu văn bản thuần.
Hệ thống an ninh Wordfence ra mắt một thông báo liên quan đến plugin đặc biệt được gọi là “Display Widgets”, cung cấp những tính năng mở rộng để kích hoạt các vùng hiển thị khác nhau trên trang web. Để cấu hình các vùng hiển thị này, hệ thống cần cung cấp người dùng với một cặp tên đăng nhập và mật khẩu.
Tuy nhiên, phần mềm này không bảo vệ mật khẩu bảo mật văn bản được thiết lập đã được lưu trữ trong cơ sở dữ liệu MySQL, bất cứ ai cũng có thể truy cập và đọc mật khẩu cũ trong bảng.
Software Security Team đã cảnh báo những người dùng của plugin này để hạn chế các tấn công từ các hacker. Nếu bạn đã cài đặt plugin này trên trang web của bạn, hãy nhanh chóng vào trang cài đặt và thay đổi tên đăng nhập và mật khẩu trước khi bạn bị hacker tấn công.