WordPress-плагин AIOS писал в БД пароли в виде простого текста

WordPress-плагин AIOS писал в БД пароли в виде простого текста

WordPress-плагин AIOS писал в БД пароли в виде простого текста

Плагин для сайтов на WordPress под названием All-In-One Security (AIOS), установленный более чем на миллионе веб-ресурсов, логировал пароли в виде простого текста. Иронично, что предназначенный для дополнительной защиты сайтов плагин сам и же и создавал риски.

Судя по всему, простым текстом в базу данных писались пароли, которые пользователи вводили при попытке войти в аккаунт.

Сам плагин AIOS, разрабатываемый компанией Updraft, предлагает владельцам WordPress-сайтов функциональность WAF (web application firewall — файрвол уровня веб-приложения), защиту контента и логинов.

Авторы All-In-One Security обещают, что их разработка остановит вредоносных ботов и защитит ресурс от брутфорса.

Приблизительно три недели назад один из пользователей сообщил о странном поведении версии AIOS v5.1.9: плагин не только записывает попытки входа в учётные записи в таблицу aiowps_audit_log, но и фиксирует вводимые пароли. Юзер указывал на нарушение стандартов и законов, включая NIST 800-63 3, ISO 27000 и GDPR.

 

Представители Updraft в ответ на замечания объяснили, что это «известный баг» и пообещали предоставить фикс с выходом следующей версии. Своё обещание разработчики сдержали, так как 11 июля вышел релиз под номером 5.2.0, в котором проблема решена.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Арестован мошенник, который обманывал посетительниц сайтов знакомств

Полиция задержала жителя Пскова, который обманывал посетительниц сайтов знакомств и выманивал у них крупные суммы денег. В основном его жертвами становились одинокие молодые женщины из Санкт-Петербурга. Как выяснилось, мошенник действовал по одной и той же схеме неоднократно.

О задержании сообщила официальный представитель МВД России Ирина Волк. Уголовное дело о мошенничестве возбуждено в следственном подразделении УМВД по Центральному району Санкт-Петербурга.

Поводом стало заявление местной жительницы, у которой злоумышленник под предлогом временных финансовых трудностей занял крупную сумму, а затем скрылся.

Мужчина знакомился с девушками на сайтах знакомств, стремился вызвать доверие и завязать романтические отношения. После этого он просил срочно одолжить деньги, при этом отправлял расписки и копии паспорта, чтобы усилить доверие. Получив перевод, он переставал выходить на связь.

По данным полиции, в Санкт-Петербурге от его действий пострадали как минимум три женщины. Общий ущерб превышает 2 миллиона рублей.

Сотрудники УМВД по Центральному району Санкт-Петербурга установили местонахождение подозреваемого и задержали его. В настоящее время он заключён под стражу.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru