Pojawiła się ciekawa teoria, że wyciek danych osób ukrywających swoje finanse w rajach podatkowych, zwany „Panama Papers” to także przykład do czego może prowadzić nieaktualizowanie WordPressa i zainstalowanych na nim wtyczek i motywów.
Serwis WordFence poddał analizie stronę firmy Mossack Fonseca i zauważył, że w istocie działa ona na WordPressie. Wśród zainstalowanych wtyczek znalazła się odpowiedzialna za Revolution Slider, której administrator strony od lat nie aktualizował. Problem w tym, że w tym czasie we wtyczce tej znaleziono (i naprawiono) wiele błędów, w tym związanych z bezpieczeństwem.
Czy faktycznie ta dziura sprawiła, że dane wyciekły, nie wiadomo. Nikt nie trzyma na WordPressowej stronie 2,5 terabajtów danych, jednak jeśli strona była uruchomiona na tym samym serwerze co system CRM firmy lub wśród danych gromadzonych na stronie było coś, co umożliwiło „przedostać się dalej”, w takim wypadku mamy do czynienia z chyba najbardziej skrajnym przykładem do czego może prowadzić zaniedbywanie WordPressowej strony.
W tym miejscu polecam Wam mój starszy wpis, w którym wymieniam sposoby, w jakie włamywacze dostają się do WordPressa najczęściej. Nie wspomnę już, że jeszcze wcześniej na swoim własnym blogu nawoływałem do porzucenia sliderów na stronach. Mają za swoje ;)
Komentarze
3 odpowiedzi na „Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?”
Ich kliencki serwis stał na nieaktualizowanym od 3 lat Drupalu, w międzyczasie była epidemia „Drupalgeddon”, skoro na tacy mieli podane podatności jak wejść do środka to przypuszczam, że WordPressa i jego wtyczek olali. Bo od razu mogli wbić do bardziej priorytetowego miejsca.
Ale jaj narobiła ta sprawa. Nie trzeba chronić takie dane na stronach :)
Wordfence przyczepili się dla slajdera a tam z teo co widzę wtyczka qtranslate w wersji, która jakiś czas temu została tymczasowo zdjęta z repo za poważną lukę :D