Viele Wordpress-Seiten betroffen: Security-Plug-in speichert Passwörter im Klartext
Der Entwickler des auf mehr als einer Million Webseiten installierten Wordpress-Plug-ins All-In-One Security (AIOS)(öffnet im neuen Fenster) hat kürzlich einen Fehler behoben, der dazu führte, dass die Software Passwörter von Benutzern im Klartext protokollierte und in die zugehörige Wordpress-Datenbank schrieb. Infolgedessen konnten Administratoren betroffener Webseiten, die noch eine ältere Version dieses Plug-in installiert haben, die Passwörter ihrer Nutzer einsehen.
Dies sei insbesondere dann ein Problem, wenn böswillige "Website-Administratoren diese Passwörter bei anderen Diensten ausprobieren würden, bei denen Ihre Benutzer möglicherweise das gleiche Passwort verwendet haben" , so der Entwickler in einem gestern veröffentlichten Blogbeitrag(öffnet im neuen Fenster) zu dem AIOS-Update auf Version 5.2.0. Entstanden sei das Problem erst mit der vorherigen Version 5.1.9, die am 9. Mai 2023 erschien.
Einem Bericht von Ars Technica(öffnet im neuen Fenster) zufolge tauchte ein erster Hinweis auf den Fehler vor rund drei Wochen im Support-Forum von Wordpress(öffnet im neuen Fenster) auf. Ein Support-Mitarbeiter antwortete nur wenige Minuten später, dass es sich um einen "bekannten Fehler in der letzten Version" handle. Wie der Plug-in-Anbieter betont, sorgt das Update auf Version 5.2.0 nun aber nicht nur dafür, dass AIOS keine Klartextpasswörter mehr aufzeichnet, sondern es löscht auch automatisch alle zuvor aufgezeichneten Benutzerpasswörter.
Passwörter nur für Admins sichtbar, aber ...
Erwähnenswert ist an dieser Stelle, dass die Kennwörter bei der älteren Version damit nicht automatisch öffentlich zugänglich sind. Ein böswilliger Akteur kann aber potenziell unter Ausnutzung anderer Sicherheitslücken ein Administrator-Konto bei einer der unzähligen mit AIOS 5.1.9 ausgestatteten Wordpress-Seiten übernehmen und daraufhin auf die Passwörter der dort registrierten Benutzer zugreifen. Da viele Anwender für verschiedene Online-Dienste die gleichen Zugangsdaten verwenden, ist der Anreiz für Cyberkriminelle, eine der betroffenen Webseiten zu infiltrieren, entsprechend hoch.
Für den Umgang mit Passwörtern ist es eigentlich gängige Praxis, zuvor einen kryptografischen Hash davon zu erzeugen und nur diesen in der Datenbank zu speichern. Denn um aus diesem Hash das ursprüngliche Passwort zu rekonstruieren, benötigen Angreifer unverhältnismäßig viel Zeit und Rechenleistung - ein Aufwand, der sich in den seltensten Fällen lohnt. Darüber hinaus verschafft dies den Benutzern wertvolle Zeit, um ihre Passwörter nach Bekanntwerden eines Datenlecks zu ändern, bevor ein Hacker ihre Konten wirklich übernehmen kann.