Um popular plugin para WordPress chamado Social Network Tabs, que permite o compartilhamento do conteúdo em redes sociais, deixou expostas contas do Twitter vinculadas.
O plugin, que está instalado em milhares de sites, estava armazenando tokens de acesso à conta no código-fonte do site no WordPress, permitindo que qualquer pessoa pudesse conferir as informações. Os tokens de acesso são o que deixam as pessoas conectadas ao site, seja pelo computador ou smartphone, sem precisar digitar a senha a cada vez em que entrar.
A vulnerabilidade foi descoberta pelo pesquisador de segurança francês Baptiste Robert, que encontrou, em testes com o mecanismo de busca de código-fonte PublicWWW, 539 sites que utilizavam o código. Foram encontrados tokens de acesso em mais de 400 contas vinculadas ao Twitter. Então, com os tokens obtidos, Robert descobriu que poderia ter controle total sobre as contas do Twitter, inclusive de perfis verificados com milhares de seguidores.
O Twitter foi notificado sobre a vulnerabilidade no primeiro dia de dezembro, que revogou as chaves na sequência, tornando-as seguras novamente. Usuários afetados foram informados pela rede social.
É recomendado que qualquer usuário de WordPress que tenha o plugin instalado faça a sua remoção imediatamente, altere sua senha do Twitter e garanta que o app seja removido da lista de programas conectados à rede social para que o token seja invalidado.
A desenvolvedora do plugin, Design Chemical, ainda não se manifestou sobre o problema. O plugin foi atualizado pela última vez em 2013 e, até hoje, recebe dezenas de downloads diários.
Fonte: Canaltech
