WordPress dijo que se corrigió un error en su aplicación para iOS que exponía inadvertidamente tokens de cuentas a sitios de terceros.
En un correo electrónico a los clientes visto por TechCrunch, el gigante de la administración de contenido dijo que "descubrió un problema con la aplicación WordPress iOS con la forma en que maneja las credenciales de seguridad". La compañía desconectó las cuentas afectadas de la aplicación "como medida de precaución". El Android de la compañía La aplicación no fue afectada.
Si bien no se utilizaron nombres de usuario ni contraseñas, en algunos casos la aplicación envió inadvertidamente tokens de cuentas confidenciales a terceros.
Estos tokens de cuentas son pequeños fragmentos de código que le permiten permanecer conectado a una aplicación o servicio sin tener que ingresar su contraseña cada vez. Pero si se filtra o es robado, un token de cuenta puede dar acceso a cualquier persona a su cuenta sin necesidad de su contraseña.
Después de llegar a Automattic, la matriz de la empresa, hemos ganado algo de claridad adicional. En resumen, el error se encontró en cómo se obtenían las imágenes de sitios privados de WordPress que alojaban imágenes de otros sitios. Si un sitio privado de WordPress tuviera una publicación o una página con una imagen alojada en Flickr, por ejemplo, la aplicación enviaría un token de cuenta de WordPress a Flickr al obtener la imagen.
No es así como debe funcionar. Eso significaba que los tokens de cuentas podían aparecer en los registros de empresas de terceros, lo que podía exponer a personas sin escrúpulos a las cuentas de WordPress. Dicho esto, el riesgo para las cuentas es mínimo y los usuarios no deben preocuparse demasiado.
A todos los usuarios de WordPress iOS con sitios privados se les restablecieron los tokens de su cuenta, por lo que no es necesario cambiar su contraseña.
"Nuestros ingenieros descubrieron este error en la aplicación iOS y no tenemos ninguna indicación de que alguna vez haya sido explotado", dijo un portavoz de WordPress en un correo electrónico a TechCrunch. "La primera versión afectada fue lanzada en enero de 2017, y la versión 11.9.1 lanzada el 15 de marzo de 2019 solucionó el problema".
WordPress no dijo inmediatamente cuántos clientes se vieron afectados, pero la empresa de información móvil Sensor Tower dijo en un correo electrónico que la aplicación se instaló 9.3 millones de veces en iOS desde 2012, con aproximadamente 1.3 millones de instalaciones el año pasado.
Los usuarios deben actualizar su aplicación lo antes posible.
Source link