AIOS (The All-In-One Security) dodatak je rješenje koje korisnicima nudi vatrozid za web aplikacije, zaštitu sadržaja i sigurnosni alat za prijavu u WordPress stranice.
Otkriveno je da AIOS v5.1.9 bilježi prijave, odjave te neuspješne prijave korisnika, ali ujedno sprema i unesene lozinke. Ono što je nevjerojatno, je to da je lozinke pohranjivao u tzv. plain text (nekriptiranom) obliku.
Svaki servis koji brine o sigurnosti svojih korisnika, lozinke treba spremati u kriptiranom obliku, tj. u obliku hash-a. U tom slučaju ni vlasnik servisa ne zna lozinke korisnika, a u slučaju curenja podataka lozinke napadaču nisu korisne prije dekripcije.
BleepingComputer navodi kako je izdano rješenje
AIOS je izdao verziju 5.2.0 koja ispravlja ovu grešku i briše dosad spremljene lozinke.
Ovaj propust je mogao biti koban za korisnike u slučaju kad bi administratori stranica koje koriste ovaj dodatak pokušali iskoristiti prikupljene lozinke za prijavu u druge sustave ili u slučaju kad bi stranicu kompromitirao zlonamjerni akter.
Ako administrirate stranicu koja koristi AIOS dodatak, ažurirajte ga na najnoviju verziju kako bi zaštitili sebe i svoje korisnike.
#SurfajSigurnije
$downloadlink = get_field('download_link'); ?>