Un popular wordpress plugin, instalado en miles de sitios web para ayudar a los usuarios a compartir contenido en sitios de redes sociales, dejó un enlace en Twitter Cuentas expuestas a compromiso.
El complemento, Tablas de redes sociales, almacenaba los denominados tokens de acceso a la cuenta en el código fuente del sitio web de WordPress. Cualquiera que haya visto el código fuente podría ver el identificador de Twitter vinculado y los tokens de acceso. Estos tokens de acceso lo mantienen conectado al sitio web de su teléfono y su computadora sin tener que volver a escribir su contraseña cada vez que ingresa su código de autenticación de dos factores.
Pero si se lo roban, la mayoría de los sitios no pueden diferenciar entre un token utilizado por el propietario de la cuenta o un pirata informático que robó el token.
Baptiste Robert, un investigador de seguridad francés que pasa por allí. El mango en línea Elliot Alderson, encontré la vulnerabilidad y los detalles compartidos con TechCrunch.
Para probar el error, Robert encontró 539 sitios web utilizando el código vulnerable al buscar en PublicWWW, un motor de búsqueda de código fuente del sitio web. Luego, escribió un guión de prueba de concepto que eliminó el código disponible públicamente de los sitios web afectados, y recopiló tokens de acceso en más de 400 cuentas de Twitter vinculadas.
Utilizando los tokens de acceso obtenidos, Robert probó sus permisos dirigiendo esas cuentas a "favorito" un tweet de su elección más de cien veces. Esto confirmó que las claves de cuenta expuestas tenían acceso de "lectura / escritura", lo que le da a él, o a un pirata informático malicioso, un control completo sobre las cuentas de Twitter.
Entre las cuentas vulnerables se incluyen un par de usuarios verificados de Twitter y varias cuentas con decenas de miles de seguidores, una oficina del alguacil de Florida, un casino en Oklahoma, un lugar de música al aire libre en Cincinnati, y más.
Robert le dijo a Twitter el 1 de diciembre sobre la vulnerabilidad en el complemento de la tercera parte, lo que provocó que el gigante de los medios sociales revocara las claves y volviera a proteger las cuentas. Twitter también envió un correo electrónico a los usuarios afectados del lapso de seguridad del complemento de WordPress, pero no hizo comentarios sobre el registro cuando se alcanzó.
Twitter hizo su parte, lo poco que podía hacer cuando el problema de seguridad está fuera de sus manos. Cualquier usuario de WordPress que todavía use el complemento debe eliminarlo de inmediato, cambiar su contraseña de Twitter y asegurarse de que la aplicación es eliminado de las aplicaciones conectadas de Twitter para invalidar el token.
Design Chemical, una casa de software con sede en Bangkok que desarrolló el complemento de buggy, no devolvió una solicitud de comentarios cuando se contactó antes de la publicación.
En su sitio web, dice que el complemento de siete años se ha descargado más de 53,000 veces. El complemento, actualizado por última vez en 2013, todavía recibe docenas de descargas cada día.
MITRE asignó la vulnerabilidad CVE-2018-20555. Es el segundo error que Robert ha revelado en tantos días.