WordPress iOS应用程序将安全令牌泄露给第三方

WordPress的所有者Automattic已联系其用户，向他们保证，其官方iOS应用程序中的一个错误是将网站身份验证令牌暴露给第三方。该公司确认没有泄露任何用户名或密码，但拒绝评论有多少用户受到影响以及泄漏是如何被发现的。

受影响的网站是在第三方网站上托管内容的网站，例如在Imgur上托管的图像。如果网站的管理员通过iOS应用程序更新了它，则可能是网站的身份验证令牌被发送到第三方内容托管站点。

“这个问题创造了向第三方网站公开安全凭证的潜力，并且只影响了外部托管图像的私人网站(例如，使用像Flickr这样的服务)，这些网站可以通过应用程序查看或编写，”该公司在一封电子邮件中说道。本周发送给用户。

没有证据表明由于泄漏而发生任何恶意活动，但是通过访问身份验证代码，攻击者可以使用它来控制WordPress网站，而无需密码。这可能导致从数据窃取到彻底根除网站的任何事情。

“在验证具有持久连接要求的应用程序和服务时，访问和身份验证令牌很常见，”Synopsys高级技术推广人员Tim Mackey说。“例如，如果移动应用程序在每个应用程序启动时都没有提示用户提供凭据，那么很有可能正在使用访问令牌”。

在Automattic给用户的电子邮件中，它说“我们已将您的应用与您的帐户断开作为预防措施”，这表示受影响的代币已被重置，因此无效。

“使用任何形式的访问令牌的用户应该认识到，更改密码通常不会使访问令牌无效，”Mackey说。“相反，他们需要撤销应用程序访问权限才能生成新令牌。对于移动应用程序，卸载应用程序并重新安装它通常也会生成新令牌。”

根据codeinwp，大约33%的网站使用WordPress，所有CMS的50-60%也是基于WordPress的。

2018年10月，当爱尔兰数据保护委员会(DPC)证实300万欧盟用户从Facebook黑客窃取他们的访问权限时，访问令牌的主题确实进入了网络安全对话。

使用被盗访问令牌攻击了3000万Facebook用户，攻击者可以访问存储在其个人资料中的一系列个人信息。在这些案件中，有1400万件数据被盗，包括姓名，列出的联系方式以及搜索和位置数据等敏感信息。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！