SIKKERHET

Tidligere ansatt lagde bakdør hos selskapet bak populær Wordpress-plugin

Den populære Wordpress-pluginen WPML ble nylig rammet av et angrep fra en tidligere ansatt.
Den populære Wordpress-pluginen WPML ble nylig rammet av et angrep fra en tidligere ansatt. Erlend Tangeraas Lygre
22. jan. 2019 - 14:59

Synes du programvaren du lager har mange sikkerhetshull?

Lei av at brukerne ikke vet om dette?

Har du vurdert å lage en bakdør til deg selv, slutte i bedriften og sende en fellesmail til kundene hvor du harselerer med din tidligere arbeidsgiver og informerer om nevnte sikkerhetshull?

Nei, sier kanskje du. Ja, sier en tidligere ansatt i WPML.

Sendte epost til kundene

WPML er et IT-selskap som lever av å selge plugins til Wordpress-brukere. Pluginen de lager heter Wordpress Multilingual, og benyttes av folk som vil ha støtte for flere språk på nettsidene sine. 

Pluginen er svært populær, med rundt 600 000 brukere.

Men i helgen skjedde det noe som fikk kundene til å sette kaffen i halsen: En rekke kunder skal ha mottatt en e-post hvor man blant annet kan lese følgende:

«WPML kommer med en haug latterlige sikkerhetshull. Selv om jeg alltid installerte de nyeste oppdateringene, førte det fortsatt til at mine to viktigste nettsteder ble hacket»

«Ikke forvent at programvare er 100 prosent sikker, bare fordi du betaler for den. WPML holdes høyt i hevd, men holder ikke mål».

I eposten klages det også på at selskapet har «elendig brukerstøtte» og en urimelig høy prislapp.

Les hele eposten på originalspråket nederst i denne artikkelen.

Forsmådd ansatt

Etter at eposten ble sendt ut, var selskapet raskt ute med en forklaring. Det viste seg at en tidligere ansatt hadde laget en bakdør og tatt vare på gamle SSH-nøkler, som igjen gjorde at han kunne få tilgang etter at han forlot firmaet. 

«Innbruddet ble ikke gjort via en svakhet i WordPress, WPML eller en annen plugin. Dette ble gjort gjennom bruk av innsideinformasjon», forklarer Amir Helzer i selskapet på deres hjemmesider.

I tillegg til at eposten ble sendt ut, skal store mengder brukerdata ha havnet på avveie, deriblant navn og epostadresser. Firmaet anser skaden som stor, men presiserer at ingen betalingsinformasjon er på avveie, da de ikke lagret dette hos seg. De ber alle brukerne sette nye passord på sin konto.

Les hele eposten

«You’re seeing this because you are using WPML. You purchased WPML and installed it on one or more of your sites. Or maybe you jus plan to.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

I did the same but only to get myself in a whole lot of troubles. WPML came with a bunch of ridiculous security holes which, despite my efforts to keep everything up to date, allowed the most important two of my websites to be hacked.

WPML exposed sensitive information to someone with very little coding skills but merely with access to the WPML code and some interest in seeing how easy is to break it.

I’m able to write this here because of the very same WPML flaws as this plugin is used on wpml.org too.

Please take this with the warm recommendation of triple-enforcing your security on websites where you use WPML if you must use it. Make frequent backups and monitor your websites closely. Do not leave sensible information laying around in the database or on the server.
Use only WPML components and features that you really need. Or ask for your money back.

Do not expect that if you’re charged for a piece of software, it means that is 100% hack proof. WPML is highly acclaimed but doesn’t prove itself.

It’s a shame that after unreasonable price tag and lousy support, things were able to go even worse.

I’ve emailed them with details about the vulnerable code and hopefully they will be able to react quickly enough with an update. But be warned!

Peace!»

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.