‘Ex-werknemer hackte populaire WordPress-plug-in’
De website van de populaire plug-in WP MultiLingual voor WordPress is dit weekend gehackt. De aanvaller stuurde ook een e-mail naar de honderdduizenden plug-in-gebruikers. Volgens het bedrijf achter de plug-in is de hacker een boze ex-medewerker die een achterdeur heeft gebouwd in de site.
WP MultiLingual (WPML) startte in 2007 als een plug-in om WordPress-websites te vertalen. Met meer dan 600 duizend betalende gebruikers is WPML inmiddels de populairste vertaal-plug-in.
Dit weekend kregen alle gebruikers een e-mail van iemand die zich voordeed als een beveiligingsonderzoeker. Hij/zij claimde dat WPML meerdere veiligheidslekken bevat en dat hij die gemeld heeft bij het bedrijf, maar dat er niets mee is gedaan. De hacker raadde klanten daarom aan om hun websites te controleren op eventuele lekken.
Op dezelfde dag werd ook de website van WPML gehackt. De tekst uit de e-mail is gepubliceerd als een blogpost. Het WPML-team heeft de blog inmiddels verwijderd, maar de gearchiveerde versie is hier te lezen. De dubbele hack is volgens Zdnet het eerste noemenswaardige beveiligingsprobleem in het twaalfjarig bestaan van de plug-in.
Backdoor misbruikt
Het team van WPML schrijft de hacks toe aan een niet-nader genoemde ex-medewerker. Op social media en in een e-mail aan alle gebruikers zegt het bedrijf dat de ex-medewerker een achterdeur (backdoor) in de site heeft gebouwd. Zo kon hij/zij een blogpost publiceren, en kreeg de hacker ook toegang tot de server en de database met alle namen en e-mailadressen van klanten.
WPML claimt dat de ex-medewerker geen malware heeft verspreid en dat hij/zij ook geen toegang had tot de broncode van de plug-in. De hacker kon ook niet bij financiële klantgegevens komen, al sluit het bedrijf niet uit dat hij/zij wilde inloggen met gestolen klantgegevens. Uit voorzorg heeft WPML daarom de inloggegevens van alle klanten gereset. Ook zegt de maker van de plug-in dat er een hele nieuwe server wordt gebouwd.
Hacker kan de gevangenis in
De ex-medewerker zegt dat zijn of haar actie nodig was om WPML-gebruikers te informeren over de veiligheidsrisico’s van de plug-in. WPML lijkt te weten wie de oud-medewerker is, al is onduidelijk of hij/zij vrijwillig is opgestapt of is ontslagen. Ook is het onbekend of het bedrijf aangifte heeft gedaan of gaat doen bij de politie. WPML is als bedrijf in ieder geval verplicht om het datalek te melden bij de autoriteiten. Afhankelijk van de nationaliteit van de ex-medewerker, kan de dubbele hack een (lange) gevangenisstraf opleveren.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee