«Заказчик бывший сотрудник, который оставил подвиг на сервере (не плагин WPML) перед отъездом. Помимо фиксации ущерба, мы также будем принимать правовые меры «, сказал Хельцер субботу вечером.
Команда WPML работала круглосуточно в выходные дни, чтобы обезопасить свои системы и разослала электронное письмо, информирующее клиентов об инциденте. Они также заверили клиентов, что плагин WPML не содержит эксплойта и что платежная информация не была скомпрометирована. Компания опубликовала объявление на своем сайте, подробно инцидента и их ответ:
Мы обновили wpml.org, перестроили все и все переустановили. Мы обеспечили доступ к администратору, использую2-факторной аутентификации, и свели к минимуму доступ веб-сервера к файловой системе.
Это больше мер предосторожности, чем фактический ответ на хак. Наши данные показывают, что хакер использовал внутреннюю информацию (старый пароль SSH) и отверстие, которое он оставил для себя, когда он был нашим сотрудником.
Этот хак не было сделано с помощью подвиг в WordPress, WPML или другой плагин, но с помощью этой внутренней информации. В любом случае, ущерб велик, и это уже сделано.
WPML призывает клиентов не нажимать на ссылки в письме, отправленном злоумышленником, и рекомендует им изменить свои пароли для wpml.org. Злоумышленник имеет имена клиентов, электронные письма и сайты, но WPML сказал sitekeys не могут быть использованы для нажатия изменений на веб-сайты клиентов.
Хельцер убежден, что нападение было внутренней работой и подозревает двух бывших сотрудников. Он и его команда работают над предоставлением доказательств властям. По его словам, характер атаки свидетельствует о том, что она, скорее всего, не была сторонним хакером:
- Первый раз наш сайт был взломан в день, когда мы уволили сотрудника, который имел доступ к нашим серверам. Мы не выявили нарушения в то время. Однако, как только мы получили взломали, мы проанализировали оригинальное отверстие, и мы нашли в нашем журнале, когда он был помещен (да, он удалил журнал, но он не удалил резервную копию). Теперь, когда мы закончили уборку беспорядка, мы проходим через все журналы и собираем все доказательства.
- Злоумышленник нацелился на определенные таблицы кода и базы данных, которые являются уникальными для нашего сайта, а не общими таблицами WordPress или WPML.
- Злоумышленник создал атаку так, чтобы она нанесла нам долгосрочный ущерб и не была бы очевидной на первый взгляд. Этот долгосрочный ущерб очень трудно угадать, не зная наших бизнес-целей и задач. Это информация, которая есть у наших сотрудников, но мы не разглашаем.
Мысль о том, что бывший сотрудник, который известен компании рискует выполнять эти незаконные действия трудно понять, даже в случае, если кто-то был уволен и, возможно, действовали в отместку. Риски быть пойманными кажутся слишком большими.
«Во многих юрисдикциях, включая США, это тюремное заключение», Wordfence генеральный директор Марк Маундер сказал. «Так что я нахожу это совершенно невероятным, что сотрудник оставит бэкдор, использовать его, чтобы осквернить свой сайт, украсть их данные и электронной почты всех абонентов. Это infosec эквивалент ходить в полицейский участок и пометки стены в то время как полицейские смотреть «.
Хельцер сказал, что инцидент должен послужить тревожным сигналом для компаний, которые нанимают удаленных работников. В нем подчеркивается важность наличия процедур для отзыва доступа сотрудников ко всем системам, используемым в повседневной деятельности.
«Мы должны признать, что наш сайт не был обеспечен достаточно хорошо», сказал Хельцер. «Если кто-то ранее имел админ доступ и перестал работать на нас, мы должны были быть более осторожными и избежать этой ситуации.
«Это может быть тревожным сигналом для других. Мы много говорим о преимуществах или удаленной работе, и большинство отраслей WordPress работает удаленно. Это заставило нас понять, что мы должны быть гораздо более пессимистичными, когда мы позволяем любой доступ к нашей системе.
«Например, тот факт, что мы сейчас кодирования для себя требование войти с 2fa, означает, что мы не одиноки в этой ситуации подвергаются».
Несанкционированная электронная почта злоумышленника и ответ wpML электронной почты вышел в минувшие выходные, так что многие клиенты будут узнавать об инциденте сегодня, когда они возвращаются на работу. Helzer сказал клиенты были поддержку до сих пор.
«Я думаю, что клиенты ценят тот факт, что мы связались с ними так быстро, как мы могли, и мы бросили все и побежал, чтобы справиться с этим», сказал он. «Я думаю, что мы все еще будем иметь повреждения. Клиенты не убежали от нас прямо сейчас, но хорошая репутация является то, что вы строите на протяжении многих лет. Неприятный инцидент, как это остается «на вашем отчете. Это наша жизнь, и мы относимся к этому серьезно».
Оригинал: wptavern.com