WordPress iOS应用程序将安全令牌泄露给第三方

创投2020-09-02 15:21:22
导读WordPress的所有者Automattic已联系其用户,向他们保证,其官方iOS应用程序中的一个错误是将网站身份验证令牌暴露给第三方。该公司确认没

WordPress的所有者Automattic已联系其用户,向他们保证,其官方iOS应用程序中的一个错误是将网站身份验证令牌暴露给第三方。该公司确认没有泄露任何用户名或密码,但拒绝评论有多少用户受到影响以及泄漏是如何被发现的。

受影响的网站是在第三方网站上托管内容的网站,例如在Imgur上托管的图像。如果网站的管理员通过iOS应用程序更新了它,则可能是网站的身份验证令牌被发送到第三方内容托管站点。

“这个问题创造了向第三方网站公开安全凭证的潜力,并且只影响了外部托管图像的私人网站(例如,使用像Flickr这样的服务),这些网站可以通过应用程序查看或编写,”该公司在一封电子邮件中说道。本周发送给用户。

没有证据表明由于泄漏而发生任何恶意活动,但是通过访问身份验证代码,攻击者可以使用它来控制WordPress网站,而无需密码。这可能导致从数据窃取到彻底根除网站的任何事情。

“在验证具有持久连接要求的应用程序和服务时,访问和身份验证令牌很常见,”Synopsys高级技术推广人员Tim Mackey说。“例如,如果移动应用程序在每个应用程序启动时都没有提示用户提供凭据,那么很有可能正在使用访问令牌”。

在Automattic给用户的电子邮件中,它说“我们已将您的应用与您的帐户断开作为预防措施”,这表示受影响的代币已被重置,因此无效。

“使用任何形式的访问令牌的用户应该认识到,更改密码通常不会使访问令牌无效,”Mackey说。“相反,他们需要撤销应用程序访问权限才能生成新令牌。对于移动应用程序,卸载应用程序并重新安装它通常也会生成新令牌。”

根据codeinwp,大约33%的网站使用WordPress,所有CMS的50-60%也是基于WordPress的。

2018年10月,当爱尔兰数据保护委员会(DPC)证实300万欧盟用户从Facebook黑客窃取他们的访问权限时,访问令牌的主题确实进入了网络安全对话。

使用被盗访问令牌攻击了3000万Facebook用户,攻击者可以访问存储在其个人资料中的一系列个人信息。在这些案件中,有1400万件数据被盗,包括姓名,列出的联系方式以及搜索和位置数据等敏感信息。

免责声明:本文由用户上传,如有侵权请联系删除!