AIOS (The All-In-One Security) dodatak je rješenje koje korisnicima nudi vatrozid za web aplikacije, zaštitu sadržaja i sigurnosni alat za prijavu u WordPress stranice.
Otkriveno je da AIOS v5.1.9 bilježi prijave, odjave te neuspješne prijave korisnika, ali ujedno sprema i unesene lozinke. Ono što je nevjerojatno, je to da je lozinke pohranjivao u tzv. plain text (nekriptiranom) obliku.
Svaki servis koji brine o sigurnosti svojih korisnika, lozinke treba spremati u kriptiranom obliku, tj. u obliku hash-a. U tom slučaju ni vlasnik servisa ne zna lozinke korisnika, a u slučaju curenja podataka lozinke napadaču nisu korisne prije dekripcije.
Izdano je rješenje
AIOS je izdao verziju 5.2.0 koja ispravlja ovu grešku i briše dosad spremljene lozinke.
Ovaj propust je mogao biti koban za korisnike u slučaju kad bi administratori stranica koje koriste ovaj dodatak pokušali iskoristiti prikupljene lozinke za prijavu u druge sustave ili u slučaju kad bi stranicu kompromitirao zlonamjerni akter.
BleepingComputer navodi kako je prema podacima s WordPress.org stats AIOS dodatak ažurirala tek četvrtina stranica koje ga koriste. To znači da je trenutno aktivno oko 750 000 stranica s ovom ranjivosti.
Ako administrirate stranicu koja koristi AIOS dodatak, ažurirajte ga na najnoviju verziju kako bi zaštitili sebe i svoje korisnike.
#SurfajSigurnije
The post WordPress dodatak AIOS je pohranjivao lozinke u nekriptiranom obliku first appeared on CERT.hr.
Source: Read More
Novosti
CERT.hr