Злоумышленник воспользовался бэкдором на сервере разработчиков и разослал массовые ложные сообщения об уязвимостях в плагине.
В минувшие выходные злоумышленник осуществил дефейс официального сайта популярного плагина для WordPress и разослал всем клиентам сообщения о том, что плагин якобы содержит множественные неисправленные уязвимости. В опубликованном после взлома заявлении разработчики плагина возложили ответственность за атаку на бывшего сотрудника.
Речь идет о плагине WPML (WP MultiLingual), позволяющем создавать функциональные многоязычные сайты на WordPress. Согласно информации на официальном сайте, число пользователей WPML превышает более 600 тыс.
Инцидент произошел в субботу, 19 января. Атакующий разослал всем клиентам WPML электронные письма, в которых от имени некоего исследователя в области безопасности информировал о наличии ряда неисправленных уязвимостей в плагине, подвергающих сайты риску взлома. Он также призвал владельцев сайтов проверить свои ресурсы на предмет возможной компрометации. В своем сообщении в Twitter команда WPML опровергла все обвинения и пояснила, что рассылка – дело рук бывшего сотрудника, который воспользовался внедренным им бэкдором на официальном сайте для доступа к серверу и клиентской базе данных.
Как заверили разработчики, злоумышленнику не удалось получить доступ к финансовой информации клиентов и исходному коду плагина, однако у преступника могла остаться возможность авторизации в учетных записях клиентов на сайте WPML.org. Сейчас компания перестраивает сервер с нуля, чтобы удалить бэкдор, и в качестве меры предосторожности сбрасывает пароли пользователей. В настоящее время неясно, сообщили ли разработчики о причастности бывшего сотрудника к инциденту. Если вина будет доказана, ему может грозить тюремный срок.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале