AIOS (The All-In-One Security) dodatak je rješenje koje korisnicima nudi vatrozid za web aplikacije, zaštitu sadržaja i sigurnosni alat za prijavu u WordPress stranice.

Otkriveno je da AIOS v5.1.9 bilježi prijave, odjave te neuspješne prijave korisnika, ali ujedno sprema i unesene lozinke. Ono što je nevjerojatno, je to da je lozinke pohranjivao u tzv. plain text (nekriptiranom) obliku.

Svaki servis koji brine o sigurnosti svojih korisnika, lozinke treba spremati u kriptiranom obliku, tj. u obliku hash-a. U tom slučaju ni vlasnik servisa ne zna lozinke korisnika, a u slučaju curenja podataka lozinke napadaču nisu korisne prije dekripcije.

BleepingComputer navodi kako je izdano rješenje

AIOS je izdao verziju 5.2.0 koja ispravlja ovu grešku i briše dosad spremljene lozinke.

Ovaj propust je mogao biti koban za korisnike u slučaju kad bi administratori stranica koje koriste ovaj dodatak pokušali iskoristiti prikupljene lozinke za prijavu u druge sustave ili u slučaju kad bi stranicu kompromitirao zlonamjerni akter.

Ako administrirate stranicu koja koristi AIOS dodatak, ažurirajte ga na najnoviju verziju kako bi zaštitili sebe i svoje korisnike.

#SurfajSigurnije