Se Usou este Plugin do WordPress, Você Deve Alterar a Sua Senha do Twitter o Mais Rápido Possível!
Os aplicativos de software, sites e plataformas on-line devem estar vivos, respirando coisas. Se quiserem sobreviver, precisam ser atualizados e adaptados às diferentes coisas que a internet lança sobre eles todos os dias. Deixe-os adormecidos e, mais cedo ou mais tarde, eles causarão a você ou a outras pessoas uma grande quantidade de problemas. Um pesquisador francês que atende pelo Twitter @ fs0c131y nos mostrou o tamanho do problema que um software antigo poderia ter.
Índice
O que é o Social Media Tabs?
Ele encontrou uma falha de segurança nas Guias de Mídia Social, um plugin do WordPress lançado em 2012. O Social Media Tabs foi projetado para integrar pequenas abas em um site WordPress que mostra os feeds de mídia social do proprietário quando o usuário clica neles. Após o lançamento, Social Media Tabs recebeu algumas críticas positivas, e ao longo dos meses seguintes, a Design Chemical, empresa de Hong Kong que o desenvolveu, impulsionou alguns novos recursos. De acordo com o changelog, no entanto, o desenvolvimento foi apreendido em agosto de 2013.
O que as guias da mídia social fizeram de errado?
Escusado será dizer que, a fim de exibir seus tweets e posts, o plugin tem que ter acesso às suas contas de mídia social. Nestas páginas, discutimos exemplos que nos mostram o quão cuidadoso você deve ser quando está dando acesso a um software para seus dados, mas está claro que a maioria das pessoas não leva o problema a sério, especialmente quando algo aparentemente inofensivo como um plugin WordPress está envolvido. Isso, como você verá agora, é um grande erro.
No caso de Social Network Tabs, o problema estava enraizado na maneira como o plugin armazenava seus tokens de acesso para o Twitter - os tokens que permitem aos usuários ver todos os tweets. Por algum motivo, os tokens de acesso, juntamente com o identificador de perfil, eram visíveis a partir do código-fonte da página. E o código-fonte, como todos sabemos, está sempre a alguns cliques de distância.
De acordo com Zack Whittaker do TechCrunch, embora o Social Media Tabs não esteja ativamente desenvolvido no momento, ele ainda consegue acumular um número significativo de downloads. De fato, quando @ fs0c131y notou pela primeira vez o erro, ele fez uma varredura e encontrou apenas 540 sites vulneráveis.
Em seguida, ele escreveu um script de prova de conceito que percorreu os sites mencionados e copiou os dados expostos. Poucos minutos depois, ele tinha os tokens de acesso de mais de 400 contas do Twitter, mas estava curioso para descobrir que tipo de malícia poderia fazer com eles. Ele escolheu um tweet e usou os tokens para "curtir" mais de 100 vezes, o que garantiu a ele acesso de leitura / gravação. Algumas das contas foram praticamente esquecidas, embora na época da pesquisa, algumas postassem alguns tweets bastante estranhos . Nem todos os perfis afetados estavam inativos. Havia algumas contas verificadas e algumas tinham milhares de seguidores. Em outras palavras, uma exploração da falha poderia ter tido sérias conseqüências.
Em 1º de dezembro, @ fs0c131y notificou o Twitter e os tokens de acesso ofensivos foram prontamente revogados. Ontem, no entanto, logo após a vulnerabilidade ter sido trazida à atenção do público, @ fs0c131y revelou que usando o Google, você pode encontrar sites e contas mais vulneráveis. Espero que a questão seja abordada o mais rápido possível.
O que você precisa fazer?
Se você não usou as abas de mídia social, seu perfil no Twitter é (pelo menos teoricamente) seguro. Essa coisa toda deve ser uma lição para todos, no entanto. Certifique-se de que você sabe quais aplicativos têm acesso às suas contas de redes sociais, e se você tiver plugins WordPress antigos lendo seus feeds, pelo menos tente se certificar de que eles recebam os devidos cuidados pelos desenvolvedores.
Quanto às pessoas que usaram Social Media Tabs, o plugin não está mais ativo, então você pode se sentir livre para removê-lo do seu site. Você também deve se certificar de que está desconectado de seus perfis de mídia social. E, embora não exista nenhuma informação de que seu perfil esteja exposto, você provavelmente deve considerar alterá-lo com muita cautela.
