Token de acceso filtrado del complemento de WordPress que puede piratear cuentas de Twitter


Un popular complemento de redes sociales de WordPress, Social Network Tabs, conecta los identificadores de las redes sociales con WordPress para que los usuarios puedan mostrar las fuentes sociales en sus sitios web. El complemento ahora ha comprometido la seguridad de miles de identificadores de Twitter vinculados.

El complemento almacenaba el token de acceso de todas las cuentas de Twitter que estaban vinculadas a diferentes sitios web de WordPress en el código fuente de esos sitios. El complemento utiliza este token de acceso para mantener a los usuarios conectados a sus sitios web de WordPress sin tener que ingresar contraseñas o pasar por la autenticación de dos factores.

Estos tokens de acceso y los identificadores de Twitter pueden ser vistos por cualquiera que se encuentre en el código fuente de esos sitios web. Si estos tokens son robados, la mayoría de los sitios no podrán diferenciar entre el propietario de la cuenta o el pirata informático.

La vulnerabilidad fue descubierta por un investigador de seguridad francés, Baptiste Robert. (Es posible que la conozca por el nombre de Elliot Alderson). Encontró 539 sitios web que actualmente usan el código vulnerable al buscar PúblicoWWW.

Robert informó a Twitter sobre la vulnerabilidad y el gigante de las redes sociales también notificó a todos los usuarios afectados. Sugerimos que cualquier usuario de WordPress que todavía use el complemento debería dejar de usarlo inmediatamente.

Design Chemicals, la compañía detrás del plugin buggy, aún no ha hablado sobre el incidente. Tampoco se menciona en el sitio web.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Go up