В популярном плагине от Facebook для WordPress нашли серьезную уязвимость. С помощью нее хакеры могут перехватывать сообщения, которые посетители сайта отправляют его владельцу и общаться с ними от его лица.
Facebook Chat Plugin — это небольшое дополнение для WordPress, которое позволяет читателям общаться с хозяином страницы напрямую через платформу Facebook. Это как всплывающий чат в интернет-магазинах, только работает через соцсеть и не требует каких-то дополнительных протоколов связи.
Об угрозе сообщила команда специалистов Wordfence’s Threat Intellignece. Одна из участниц WTI, Хлоя Чэмберленд, назвала уязвимость крайне серьезной.
С помощью нее хакеры могли внедриться в любую переписку, которую начнет посетитель ресурса. Они использовали AJAX, чтобы войти в платформу под своим профилем и общаться с посетителями сайта от лица хозяина блога. Плагин просто не проверяет, от кого поступает запрос на подключение. Поэтому, чтобы войти в чат, даже не нужны данные администратора.
После входа злоумышленник в автоматическом режиме перехватывает все входящие сообщения. При этом администратор перестанет получать их совсем. Он даже не заметит «взлома».
«Хакеры могли использовать эту платформу, чтобы выудить у пользователей конфиденциальную информацию, платежную информацию или любые другие данные от лица администратора сайта. Ну или просто использовать свое положение, чтобы разрушить репутацию ресурса и лишить его аудитории», — добавила Чэмберлэнд.
Разработчики Facebook уже выпустили обновление 1.6, в котором исправлена ошибка, но пока рано говорить о том, что проблема миновала. Сейчас под угрозой находятся более 50 тысяч сайтов, потому что их владельцы все еще не загрузили последнюю версию плагина.
Комментарии