WPML'de Hack Krizi
WPML yetkililerinin bugün yaptığı duyuruda, bu hafta sonu yaşanan bir hack olayının kullanıcı verilerinin ele geçirilmesine neden olduğu söylendi.
WPML, WordPress için geliştirilmiş ve birçok WordPress sitesinde kullanılan, yazarların farklı dillerde içerik yazmasına, içeriği çevirmesine izin veren, çeviri yönetimi için gelişmiş özellikler sunan ve profesyonel içerik çevirisi için bir arayüzü kullanıcılara sunan bir eklentidir.
WPML'in gündeme gelmesinin nedeni ise bu hafta sonu yaşanan hack olayı. WPML yetkililerinin bugün yaptığı duyuruda, bu hafta sonu yaşanan bir hack olayının kullanıcı verilerinin ele geçirilmesine neden olduğu söylendi.
Yaşanan bu olay, eski bir WPML çalışanı tarafından kullanıcılara, WPML'in bazı güvenlik zafiyetleri içerdiğini ve bu zafiyetlerin sitelerinde olup olmadığını öğrenmek için bazı bağlantılara tıklamaları gerektiğini söyleyen e-postaların gönderilmesiyle gerçekleşti.
Saldırgan, WPML'in sunucularına sızdığı için kullanıcılara gönderdiği e-postaların kaynağı bizzat resmi siteden gönderilmiş gibi gözüküyordu ama aslında bu tamamen saldırganın işiydi.
Yetkililer, söz konusu saldırının WPML'den veya WordPress'ten kaynaklanan bir güvenlik zafiyet kullanılarak gerçekleştirilmediğini, saldırganın eski bir WPML çalışanı olduğu için sunuculara eski bir SSH şifresiyle eriştiği ve böylelikle söz konusu saldırıyı gerçekleştirdiğini söyledi.
Son olarak yetkililer, WPML eklentisinin herhangi bir zafiyet içermediğini ve kullanıcıların ödeme bilgilerinin ele geçirilmediğini söyledi. Ayrıca yetkililer tüm kullanıcılarına, hesaplarının şifrelerini "wpml.org" adresinden sıfırlamalarını söyledi.
Yorumlar