Cientos de cuentas de Twitter fueron vulneradas debido a reconocido plugin de WordPress
Un plugin de WordPress llamado Social Network Tabs habría permitido que se difundieran los tokens de acceso de ciertas cuentas de Twitter.
Parece que hoy es un día para preocuparnos más de nuestra seguridad informática, pues hace pocas horas vimos una de las mayores filtraciones de contraseñas de correos electrónicos de la historia. A este hecho se le suma una vulnerabilidad más, esta vez registrada en Twitter y en relación con WordPress.
En la mañana del jueves un investigador en seguridad francés que se hace llamar Elliot Anderson hizo un reporte algo preocupante.
Time for fun! The @WordPress plugin known as Social Network Tabs, made by Design Chemical, combines all of your favorite social networks profiles. Due to their poor coding skills I was able to take over 127 Twitter accounts #0day #infosec https://t.co/5Cd2P2NUWT
— Elliot Alderson (@fs0c131y) January 17, 2019
Según él, los tokens de acceso de más de 400 cuentas de Twitter habían sido comprometidos. Sí esos que te permiten permanecer conectado días después sin necesidad de introducir de nuevo la contraseña.
Todo se debería a un plugin popular de WordPress llamado Social Network Tabs. Este permite que se puedan ver los feeds de varias redes sociales desde un portal basado en WordPress. Descargado más de 53.000 veces, el plugin ha tenido fama durante años.
El problema es que había una vulnerabilidad en este plugin en específico. Esto le permitía a cualquier persona encontrar los tokens dentro de su código fuente. Básicamente: darle el acceso a desconocidos para que entraran en la cuenta de Twitter de otra persona. Lo peor de todo es que la última actualización de Social Network Tabs se dio en 2013.
¿Qué implica esto?
Elliot Anderson explicó que puso a prueba el alcance de esta vulnerabilidad. Lo que hizo fue buscar sitios web que coincidieran con el problema a través de PublicWWW, donde encontró unos 539 en condiciones similares. A partir de esto, escribió un script que al ponerlo a correr le hizo obtener los tokens que daban acceso a 446 cuentas de Twitter.
Según su testimonio, fueron variados los permisos que obtuvo a través de este método. Para probarlo, hizo que estas cuentas pusieran su ‘favorito’ en un tweet en específico más de cien veces. Esto confirmó que tenía permisos que incluían lectura y escritura. En otras palabras, control total de la cuenta.
También confirmó que dos de las cuentas eran verificadas y varias tenían más de 10 mil seguidores. Junto a esa información, publicó la lista de los sitios vulnerables junto a las cuentas de Twitter afectadas. Además, añadió que ya todos esos accesos habían sido desactivados por Twitter.
Por último comentó que otras 3.550 cuentas/sitios podrían también estar en peligro. Por eso aconsejó que es mejor pensárselo dos veces antes de confiar en un plugin externo para WordPress.
Mientras tanto, la compañía que creó el plugin, Design Chemical, no se ha pronunciado al respecto.