これまで何千ものウェブサイトにインストールされ、コンテンツをソーシャルメディア上にシェアする役割を果たして来た、WordPressのとある人気プラグインが、接続されたTwitterのアカウントを危険に晒していたことが発覚した。
問題のプラグインであるSocial Network Tabsは、WordPressで構築されたウェブサイトのソースコード中に、いわゆるアカウントアクセストークンを保存していたのだ。よってソースコードを見た人なら誰でも、接続されたTwitterハンドルとアクセストークンを見ることができたのだ。アクセストークンを使用することで、毎回パスワードを再入力したり、2要素認証コードを入力したりしなくても、携帯電話やコンピュータからウェブサイトへのログインを維持することができる。
しかし、もしそれが盗まれてしまった場合には、ほとんどのサイトはアカウントの実所有者が使用するトークンと、ハッカーが盗んだトークンを見分けることはできない。
フランスのセキュリティ研究者Baptiste Robert(オンラインハンドル名はElliot Alderson)がこの脆弱性を発見し、TechCrunchにその詳細を知らせた。そしてその後、詳細をツイートしている。
このバグを検証するために、Robertはウェブサイトのソースコード検索エンジンであるPublicWWWを使って、脆弱なコードを
スポンサーリンク
【重要】人気のあるWordPressプラグインが、Twitterアカウントのハイジャックを許すアクセストークンをリークしていた
IT起業ニュース
コメント