Плагин под названием All-In-One Security для системы управления контентом WordPress установлен более чем на миллионе сайтов. Три недели назад стало известно, что в своей базе данных он хранит логины и пароли администраторов этих сайтов в виде простого текста.
Пароли записывались, когда пользователи сайта с установленным на нём плагином входили в свой аккаунт. Это якобы стало результатом ошибки в выпущенной мае версии плагина 5.1.9. В четверг появилась исправляющая эту ошибку версия 5.2.0, которая также убирает данные из базы. Эта база данных была доступна пользователям сайтов с правами администратора, то есть любой администратор видел логины и пароли всех остальных пользователей сайта. Поскольку многие пользуются одними и теми же логинами и паролями на разных сайтах, в социальных сетях, в сервисах электронной почты, это открывает возможности для злоупотреблений.
Авторы плагина утверждают, что для использования уязвимости необходимо войти в систему с правами максимального уровня, и что администраторы и без того имеют подобный доступ. Однако, вот уже более двух десятилетий главным способом хранения паролей является криптографический хэш, сгенерированный с применением медленного алгоритма. Он требует времени и больших вычислительных ресурсов на взлом шифрования. Если длина пароля не менее 12 случайным образом выбранных символов, обычно взломать их невозможно.
На крупных сервисах могут использоваться системы, когда даже сами эти сервисы не знают, какие логин и пароль пользователи вводят в поля. Однако, на многих сайтах есть доступ к текстовому содержимому этих полей, прежде чем они будут зашифрованы, пишет Arstechnica.
