اطلاعات ۳۰ میلیون کاربر وردپرس لو رفت

کمیته رکن چهارم – یک شرکت کانادایی باعث شد اطلاعات ۳۰ میلیون کاربر وردپرس فاش شود.

کارشناسان ادعا کرده‌اند که FreshBooks، یک استارت‌آپ کانادایی که نرم‌افزار حسابداری ابری می‌سازد، یک سطل ذخیره‌سازی خدمات وب آمازون (AWS) را که اطلاعات حساس کارکنان را در اینترنت محافظت نمی‌کند، در دسترس افراد دیگر قرار داده است.

در نتیجه، بیش از ۳۰ میلیون کاربر آن در بیش از ۱۶۰ کشور در سراسر جهان در معرض خطر سرقت هویت و سایر جرایم سایبری قرار گرفتند.

این هشدار توسط تیم تحقیقاتی Cybernews صادر شد که اولین بار در اواخر ژانویه ۲۰۲۳ پایگاه داده را کشف کرد.

در نگاه اول، این شرکت کانادایی تصاویر ذخیره‌سازی و ابرداده‌های وبلاگ خود را نگهداری می‌کرد، اما تجزیه و تحلیل عمیق‌تر نشان داد که پشتیبان‌گیری از کد منبع وب‌سایت و همچنین اطلاعات سایت، پیکربندی‌ها و داده‌های ورود به سیستم را برای ۱۲۱ کاربر وردپرس در این داده‌ها دیده می‌شود. اطلاعات ورود، نام کاربری، آدرس ایمیل و رمز عبور هش که متعلق به مدیران سایت است – از این دسته اطلاعات بودند. به گفته محققان، آن‌ها با استفاده از چارچوب هش MD5/phpass به راحتی قابل شکستن هش شدند و نشان می‌دهد که به دست آوردن اطلاعات در متن ساده نسبتا آسان است.

تیم Cybernews می‌گوید با این اطلاعات، عوامل تهدید می‌توانستند به باطن وب‌سایت دسترسی داشته باشند و تغییرات غیرمجاز در محتوای آن ایجاد کنند. آن‌ها می توانستند کد منبع را تجزیه و تحلیل کنند، نحوه عملکرد وب‌سایت را درک کنند و آسیب‌پذیری‌های دیگری را برای فروش یا سوءاستفاده پیدا کنند. در حقیقت، یک نسخه پشتیبان از سرور در سال ۲۰۱۹ حاوی حداقل پنج افزونه آسیب‌پذیر است که در آن زمان در وب سایت نصب شده بودند.

در سناریوی خطرناک‌تر، آن‌ها می‌توانستند نرم‌افزارهای مخرب را نصب کنند، به صورت جانبی در سراسر شبکه حرکت کنند و داده‌های حساس را به سرقت ببرند.

با این حال، یک هشدار برای استفاده از این آسیب‌پذیری وجود دارد. محققان توضیح می‌دهند: صفحه ورود وب‌سایت به پنل مدیریت ایمن بود و برای عموم قابل دسترسی نبود. با این حال، مهاجمان همچنان می‌توانند با اتصال به شبکه مشابه وب‌سایت یا یافتن و بهره‌برداری از یک افزونه آسیب‌پذیر وردپرس، این اقدام امنیتی را دور بزنند.

منبع: افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.