1 milyondan fazla web sitesine yüklenen bir WordPress güvenlik eklentisi olan All-In-One Security, üç hafta önce düz metin parolaları günlüğe kaydederken ve bunları web sitesi yöneticilerinin erişebileceği bir veritabanında saklarken yakalandıktan sonra bir güvenlik güncellemesi yayınladı.
AIOS geliştiricisi Perşembe günü yaptığı açıklamada, genellikle AIOS olarak kısaltılan eklentiyi kullanan bir sitenin kullanıcıları oturum açtığında şifrelerin günlüğe kaydedildiğini söyledi. Geliştirici, günlüğün Mayıs ayında 5.1.9 sürümünde tanıtılan bir hatanın sonucu olduğunu söyledi. Perşembe günü yayınlanan Sürüm 5.2.0, hatayı düzeltir ve ayrıca “sorunlu verileri veritabanından siler.” Veritabanı, web sitesine idari erişimi olan kişiler tarafından kullanılabilirdi.
Büyük bir güvenlik ihlali
Bir AIOS temsilcisi bir e-postada “bu kusurdan herhangi bir şey elde etmek için en üst düzey yönetici ayrıcalıkları veya eşdeğeri ile oturum açmayı gerektirir. yani Yönetici olduğu için zaten böyle şeyler yapabilen hileli bir yönetici tarafından istismar edilebilir.”
Bununla birlikte, bilgisayar korsanlarının onlarca yıldır web sitelerini ihlal etme ve buralarda depolanan verilerle kaçma konusunda görece kolaylıkları göz önüne alındığında, güvenlik uygulayıcıları uzun süredir yöneticilere şifreleri asla düz metin olarak saklamamaları konusunda uyarıda bulunuyorlar. Bu bağlamda, kimin erişimi olursa olsun herhangi bir veri tabanına düz metin parola yazmak büyük bir güvenlik ihlali anlamına gelir.
Parolaları yirmi yılı aşkın bir süre boyunca saklamanın kabul edilebilir tek yolu, genellikle yavaş bir algoritma olarak nitelendirilen, yani kırılması için zaman ve ortalamanın üzerinde bilgi işlem kaynakları gerektiren bir şey kullanılarak oluşturulan bir kriptografik karma oluşturmaktır. Bu önlem, bir tür sigorta poliçesi görevi görür. Bir veritabanı ihlal edilirse, tehdit aktörleri karmaları karşılık gelen düz metne dönüştürmek için zamana ve bilgi işlem kaynaklarına ihtiyaç duyacak ve bu da kullanıcılara bunları değiştirmeleri için zaman tanıyacaktır. Parolalar güçlü olduğunda (yani en az 12 karakterden oluşan, rastgele oluşturulmuş ve her site için benzersiz olan), çoğu tehdit aktörünün yavaş bir algoritmayla hashing yapıldığında parolaları kırması genellikle mümkün değildir.
Bazı daha büyük hizmetlerden gelen oturum açma işlemleri, genellikle düz metin içeriklerini sitenin kendisinden bile korumaya çalışan sistemler kullanır. Bununla birlikte, birçok sitenin düz metin içeriklerini karma algoritmaya geçirmeden önce kısa süreliğine erişmesi hala yaygındır.
Parola günlüğü hatası, en az üç hafta önce bir WordPress forumunda, bir kullanıcı davranışı keşfettiğinde ve bir gönderide bunun kuruluşun üçüncü taraf uyumluluk denetçileri tarafından yapılacak bir güvenlik incelemesinde başarısız olmasına neden olacağından endişelendiğinde ortaya çıktı. Aynı gün bir AIOS temsilcisi, “Bu, son sürümdeki bilinen bir hatadır” yanıtını verdi. Temsilci, günlüğe kaydedilen verileri temizlemesi gereken bir komut dosyası sağladı. Kullanıcı, komut dosyasının çalışmadığını bildirdi.
Kullanıcı ayrıca, AIOS’un neden o sırada genel kullanıma açık bir düzeltme yapmadığını da sorarak şunları yazdı:
Bu BÜYÜK bir sorundur. Bir yüklenici gibi herkes, diğer tüm site yöneticilerinin kullanıcı adlarına ve şifrelerine erişebilir.
Ayrıca, sızma testimizin belgelediği gibi, yüklenici ve site tasarımcılarının parola uygulamaları çok zayıf. Sözleşmemizin kimlik bilgileri, DİĞER TÜM MÜŞTERİ SİTELERİNDE (ve Gmail ve Facebook’ta) kullandıkları bilgilerle aynıdır.
AIOS çoğunlukla sağlam parola rehberliği sunar
Perşembe günkü danışma belgesinde şu ifadeler yer aldı: “Bu sorunun düzeltilmesi önemliydi ve gecikme için özür dileriz.” Aşağıdakiler de dahil olmak üzere standart tavsiyeyi yineledi:
- AIOS ve kullandığınız diğer eklentilerin güncel olduğundan emin olun. Bu, geliştiriciler veya topluluk tarafından tanımlanan tüm güvenlik açıklarının yamalanmasını sağlayarak sitenizi güvende tutmanıza yardımcı olur. Eklentinin hangi sürümünü kullandığınızı kontrol panelinizde görebilirsiniz. WordPress panosundaki eklenti ekranında bekleyen güncellemeler hakkında bilgilendirileceksiniz. Bu bilgi ayrıca WordPress pano güncellemeleri bölümünde de mevcuttur. “Easy Updates Manager” gibi bir eklenti, bu işlemi otomatikleştirmenize yardımcı olabilir
- Özellikle şifrenizin ele geçirildiğini düşünüyorsanız, tüm şifreleri düzenli olarak değiştirin. Bu, oturum açma bilgilerinize sahip herhangi birinin sitenize zarar vermesini veya verilerinize erişmesini engelleyecektir.
- Hesaplarınızda (WordPress ve diğer) her zaman iki faktörlü kimlik doğrulamayı etkinleştirin. Bu ekstra koruma katmanı, oturum açma bilgilerinizi cep telefonunuz veya tabletiniz gibi ikinci bir cihaz aracılığıyla doğrulayarak çalışır. Verilerinizi bilgisayar korsanlarının elinden uzak tutmanın en basit ve en etkili yollarından biridir: iki faktörlü kimlik doğrulama ile, çalınan bir parola yine de bir saldırganın bir hesapta oturum açmasına izin vermez. AIOS, WordPress sitelerinizi korumak için iki faktörlü bir kimlik doğrulama modülü içerir.
Tavsiyelerin çoğu sağlam olsa da, şifreleri düzenli olarak değiştirme tavsiyesi geçerliliğini yitirmiştir. Son yıllarda, güvenlik uygulayıcıları, bir hesabın ele geçirildiğinden şüphelenmek için hiçbir neden olmadığında, parola değişikliklerinin yarardan çok zarar getirebileceği sonucuna vardılar. Gerekçe: düzenli parola değişiklikleri, kullanıcıları daha zayıf parolalar seçmeye teşvik eder. Microsoft, uygulamayı “eski ve modası geçmiş” olarak nitelendirdi.
AIOS kullanan herkes, güncellemeyi mümkün olan en kısa sürede yüklemeli ve günlük silme işleminin açıklandığı gibi çalışmasını sağlamalıdır. Parolalarının AIOS kullanan bir web sitesi tarafından ele geçirildiğinden şüphelenen son kullanıcılar veya yöneticiler parolayı o sitede ve aynı parolayı başka sitelerde kullanmaları durumunda diğer sitelerde de değiştirmelidir.