.
Getty Images
O All-In-One Security, um plug-in de segurança do WordPress instalado em mais de 1 milhão de sites, emitiu uma atualização de segurança depois de ser pego três semanas atrás, registrando senhas de texto sem formatação e armazenando-as em um banco de dados acessível aos administradores do site.
As senhas foram registradas quando os usuários de um site usando o plug-in, geralmente abreviado como AIOS, fizeram login, disse o desenvolvedor do AIOS na quinta-feira. O desenvolvedor disse que o registro foi resultado de um bug introduzido em maio na versão 5.1.9. A versão 5.2.0 lançada na quinta-feira corrige o bug e também “exclui os dados problemáticos do banco de dados”. O banco de dados estava disponível para pessoas com acesso administrativo ao site.
Uma grande transgressão de segurança
Um representante da AIOS escreveu em um e-mail que “obter qualquer coisa com esse defeito requer estar logado com os privilégios administrativos de nível mais alto, ou equivalente. ou seja, pode ser explorado por um administrador desonesto que já pode fazer essas coisas porque é um administrador.”
No entanto, os profissionais de segurança há muito admoestam os administradores a nunca armazenar senhas em texto simples, dada a relativa facilidade que os hackers tiveram por décadas em invadir sites e fugir com os dados armazenados neles. Nesse contexto, a gravação de senhas de texto simples em qualquer tipo de banco de dados – não importa quem tenha acesso a ele – representa uma grande transgressão de segurança.
A única maneira aceitável de armazenar senhas por mais de duas décadas é como um hash criptográfico gerado usando o que costuma ser caracterizado como um algoritmo lento, o que significa que requer tempo e recursos de computação acima da média para ser quebrado. Essa precaução funciona como uma espécie de apólice de seguro. Caso um banco de dados seja violado, os agentes de ameaças exigirão tempo e recursos de computação para converter os hashes em seu texto simples correspondente, dando aos usuários tempo para alterá-los. Quando as senhas são fortes, ou seja, com pelo menos 12 caracteres, geradas aleatoriamente e exclusivas para cada site, geralmente é inviável para a maioria dos agentes de ameaças decifrá-las quando criptografadas com um algoritmo lento.
Os processos de login de alguns serviços maiores geralmente empregam sistemas que tentam proteger o conteúdo do texto simples até mesmo do próprio site. Ainda é comum, no entanto, que muitos sites tenham acesso breve ao conteúdo do texto simples antes de passá-lo para o algoritmo de hash.
O bug de registro de senha surgiu há pelo menos três semanas em um fórum do WordPress, quando um usuário descobriu o comportamento e se preocupou em uma postagem que resultaria na falha da organização em uma próxima revisão de segurança por auditores de conformidade terceirizados. No mesmo dia, um representante da AIOS respondeu: “Este é um bug conhecido na última versão”. O representante passou a fornecer um script que deveria limpar os dados registrados. O usuário relatou que o script não funcionou.
O usuário também perguntou por que o AIOS não estava disponibilizando uma correção na época, escrevendo:
Isso é uma grande adversidade. Qualquer pessoa, como um contratado, tem acesso ao nome de usuário e senhas de todos os outros administradores do site.
Além disso, como nosso pentesting documentou, os designers de sites e contratados têm práticas de senha muito ruins. As credenciais do nosso contrato são as mesmas que eles usam em TODOS OS OUTROS SITES DE CLIENTES (e no Gmail e no Facebook).
AIOS oferece orientação de senha principalmente sólida
O comunicado de quinta-feira afirmou: “Esta questão era importante para corrigir e pedimos desculpas pelo lapso”, e reiterou o conselho padrão, incluindo:
- Certifique-se de que o AIOS e quaisquer outros plug-ins que você usa estejam atualizados. Isso garante que todas as vulnerabilidades identificadas pelos desenvolvedores ou pela comunidade sejam corrigidas, ajudando a manter seu site seguro. Você pode ver qual versão do plug-in está usando em seu painel. Você será notificado sobre quaisquer atualizações pendentes na tela do plug-in no painel do WordPress. Essas informações também estão disponíveis na seção de atualizações do painel do WordPress. Um plug-in como “Easy Updates Manager” pode ajudá-lo a automatizar esse processo
- Altere todas as senhas regularmente, especialmente se você acredita que sua senha foi comprometida. Isso impedirá que qualquer pessoa com suas informações de login cause danos ao seu site ou acesse seus dados.
- Sempre ative a autenticação de dois fatores em suas contas (WordPress e outras). Essa camada extra de proteção funciona verificando seu login por meio de um segundo dispositivo, como seu celular ou tablet. É uma das maneiras mais simples e eficazes de manter seus dados fora do alcance dos hackers: com a autenticação de dois fatores, uma senha roubada ainda não permite que um invasor faça login em uma conta. O AIOS inclui um módulo de autenticação de dois fatores para proteger seus sites WordPress.
Embora a maioria dos conselhos seja sólida, a recomendação de alterar as senhas regularmente está desatualizada. Nos últimos anos, os profissionais de segurança concluíram que as alterações de senha podem fazer mais mal do que bem quando não há motivo para suspeitar de um comprometimento da conta. O raciocínio: alterações regulares de senha incentivam os usuários a escolher senhas mais fracas. A Microsoft caracterizou a prática como “antiga e obsoleta”.
Qualquer pessoa que use o AIOS deve instalar a atualização assim que possível e garantir que a exclusão do log funcione conforme descrito. Os usuários finais ou administradores que suspeitarem que sua senha foi capturada por um site usando AIOS devem alterá-la nesse site e, caso usem a mesma senha em outros sites, também nesses outros sites.
.
