Po pierwsze, część użytkowników serwisu WordPress.com otrzymała informację o podejrzanej aktywności na ich koncie i resecie hasła. Po drugie, na ponad 15 tysiącach blogów pojawił się identyczny artykuł ze spamem. Czy było włamanie?
Dzisiaj rano serwis The Hacker News poinformował, że użytkownicy serwisu blogowego WordPress.com otrzymali niepokojącą wiadomość z informacją o wykryciu nieautoryzowanej aktywności na ich kontach. Zespół WordPress.com zresetował ich hasła i informował o możliwości uzyskania dostępu poprzez własnoręczny reset hasła wykonany przez właściciela konta.
Dodatkowo okazało się, że na przynajmniej 15 tysiącach blogów, zamieszczonych w serwisie WordPress.com, pojawił się wczoraj wpis o tytule „I’m getting paid”, który był ewidentnym spamem reklamującym wypełnianie sondaży za skromnym wynagrodzeniem.
Nawet w tej chwili Google podaje, że liczba identycznych wpisów przekracza 10,000. Jakie są możliwe scenariusze, powodujące taki efekt?
Pierwsza opcja to włamanie, umożliwiające atakującemu zarządzanie dowolnym blogiem. Zapewne jednak wtedy liczba podmienionych lub dodanych stron byłaby dużo wyższa.
Druga możliwość to atak typu brute force na panel logowania. Wydaje się on być możliwy przy użyciu dużego botnetu, jednak jest raczej mało prawdopodobne, by administracja WordPress.com nie zauważyła, że ktoś odgadł 15 tysięcy haseł użytkowników.
Trzecia możliwość to błąd we wtyczce, używanej przez te właśnie blogi. Nie spodziewamy się jednak, by WordPress.com pozwolił sobie na używanie niebezpiecznej wtyczki.
Czy zatem oznacza to włamanie i kradzież hashy, a następnie odgadnięcie i wykorzystanie słabych haseł użytkowników? Czekamy na wyjaśnienie od WordPress.com.
Aktualizacja: WordPress.com wyjaśnił, że włamywacz odgadł hasła tysięcy użytkowników, którzy prawdopodobnie korzystali z identycznych haseł w innych serwisach.