Facebook ставит под угрозу безопасность переписки в WordPress

Обсудить
Facebook ставит под угрозу безопасность переписки в WordPress

В популярном плагине от Facebook для WordPress нашли серьезную уязвимость. С помощью нее хакеры могут перехватывать сообщения, которые посетители сайта отправляют его владельцу и общаться с ними от его лица.

Facebook Chat Plugin — это небольшое дополнение для WordPress, которое позволяет читателям общаться с хозяином страницы напрямую через платформу Facebook. Это как всплывающий чат в интернет-магазинах, только работает через соцсеть и не требует каких-то дополнительных протоколов связи.

Об угрозе сообщила команда специалистов Wordfence’s Threat Intellignece. Одна из участниц WTI, Хлоя Чэмберленд, назвала уязвимость крайне серьезной.

С помощью нее хакеры могли внедриться в любую переписку, которую начнет посетитель ресурса. Они использовали AJAX, чтобы войти в платформу под своим профилем и общаться с посетителями сайта от лица хозяина блога. Плагин просто не проверяет, от кого поступает запрос на подключение. Поэтому, чтобы войти в чат, даже не нужны данные администратора.

После входа злоумышленник в автоматическом режиме перехватывает все входящие сообщения. При этом администратор перестанет получать их совсем. Он даже не заметит «взлома».

«Хакеры могли использовать эту платформу, чтобы выудить у пользователей конфиденциальную информацию, платежную информацию или любые другие данные от лица администратора сайта. Ну или просто использовать свое положение, чтобы разрушить репутацию ресурса и лишить его аудитории», — добавила Чэмберлэнд.

Разработчики Facebook уже выпустили обновление 1.6, в котором исправлена ошибка, но пока рано говорить о том, что проблема миновала. Сейчас под угрозой находятся более 50 тысяч сайтов, потому что их владельцы все еще не загрузили последнюю версию плагина.

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email, который Вы использовали для входа на сайт.