Usikker cookie gør Wordpress pivåben for hijacking

Hackere kan stjæle en enkelt cookie, og på den måde skaffe sig adgang til Wordpress.

Logger man ind på en Wordpress blog over et åbent Wifi-netværk, er det trivielt arbejde for for selv uerfarne it-kriminelle at stjæle login-oplysninger. Selv hvis man bruger 2-faktor godkendelse, skriver Ars Technica.

Det skyldes, at Wordpress sender en nøgle-cookie tilbage til brugeren, når han logger ind. Men i stedet for at kryptere den pågældende cookie, så sender Wordpress informationerne i klartekst. Det vil sige, alle der får fingre i den, kan uden problemer læse de nødvendige oplysninger til at logge ind på Wordpress.

Den pågældende cookie fungerer som et slags nøglekort. Har man først fået fat i den så bliver man lukket ind af Wordpress.

Derefter er det muligt for hackeren at skaffe sig adgang til stort set alle funktionerne på en Wordpress-blog. Hackeren kan ændre både passwords og andre sikkerhedsindstillinger og på den måde overtage bloggen.

Fejlen vil ifølge udviklerne bag Wordpress blive rettet i næste opdatering. Det er dog på nuværende tidspunkt ikke muligt at hacke en blog, der benytter en sikker HTTPS-forbindelse.

Hvis ikke bloggen benytter sådan sikker forbindelse bør man holde sig fra at logge ind på Wordpress via offentlige netværk. Det er dog også muligt for ens internetudbyder at stjæle den usikre cookie.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere