На выходных многие клиенты WPML получили несанкционированное электронное письмо от кого-то, кто утверждал, что взломал веб-сайт компании и получил доступ к электронной почте клиентов. Основатель WPML Амир Хельцер подозревает, что злоумышленник – бывший сотрудник.
«Заказчик – бывший сотрудник, который перед уходом оставил на сервере эксплойт (не плагин WPML). Помимо устранения повреждений, мы также предпримем судебные иски », – сказал Хельцер в субботу вечером.
Команда WPML в выходные круглосуточно работала над безопасностью своих систем и разослала электронное письмо, информируя клиентов об инциденте. Они также заверили клиентов, что плагин WPML не содержит эксплойта и что платежная информация не была скомпрометирована. Компания опубликовала объявление на своем веб-сайте, в котором подробно описывается инцидент и их ответ:
Мы обновили wpml.org, все пересобирали и все переустанавливали. Мы обеспечили доступ к администратору, используя двухфакторную аутентификацию, и минимизировали доступ веб-сервера к файловой системе.
Это больше мер предосторожности, чем фактическая реакция на взлом. Наши данные показывают, что хакер использовал инсайдерскую информацию (старый пароль SSH) и дыру, которую он оставил для себя, когда был нашим сотрудником.
Этот взлом был осуществлен не с помощью эксплойта в WordPress, WPML или другом плагине, а с использованием этой внутренней информации. В любом случае ущерб большой, и он уже нанесен.
WPML призывает клиентов не переходить по ссылкам в электронном письме, отправленном злоумышленником, и рекомендует им изменить свои пароли для wpml.org. У злоумышленника есть имена клиентов, адреса электронной почты и ключи сайта, но WPML заявил, что ключи сайта не могут использоваться для отправки изменений на веб-сайты клиентов.
Хельцер убежден, что нападение было инсайдерской, и подозревает двух бывших сотрудников. Он и его команда работают, чтобы предоставить властям доказательства. Он сказал, что характер атаки показывает, что это, скорее всего, не сторонний хакер:
- В первый раз наш сайт был взломан в тот день, когда мы уволили сотрудника, у которого был доступ к нашим серверам. На тот момент мы не обнаружили нарушения. Однако, как только нас взломали, мы проанализировали исходную дыру и нашли в нашем журнале, когда она была помещена (да, он удалил журнал, но не удалил резервную копию). Теперь, когда мы закончили убирать беспорядок, мы просматриваем все журналы и собираем все доказательства.
- Злоумышленник нацелился на определенный код и таблицы базы данных, которые уникальны для нашего сайта, а не на общие таблицы WordPress или WPML.
- Атакующий разработал атаку так, чтобы она наносила нам долгосрочный урон и не была очевидна с первого взгляда. Этот долгосрочный ущерб очень трудно предугадать, не зная о наших бизнес-целях и проблемах. Это информация, которой владеют наши сотрудники, но мы ее не раскрываем.
Мысль о том, что бывший сотрудник, известный компании, рискнет совершить эти незаконные действия, трудно понять, даже если кто-то был уволен и, возможно, действовал в ответ. Риск быть пойманным кажется слишком большим.
«Во многих странах , включая США, это тюремное заключение» , генеральный директор Wordfence Марк Маундер сказал . «Поэтому я считаю совершенно невероятным, что сотрудник оставил бэкдор, использовал его, чтобы испортить свой сайт, украсть их данные и отправить электронное письмо всем подписчикам. Это то же самое, что войти в полицейский участок и поставить метку на стене, пока копы смотрят ».
Хелцер сказал, что этот инцидент должен послужить тревожным сигналом для компаний, которые нанимают удаленных сотрудников. Это подчеркивает важность наличия процедур для отмены доступа сотрудников ко всем системам, используемым в повседневной работе.
«Мы должны признать, что наш сайт был недостаточно защищен», – сказал Хельцер. «Если бы кто-то ранее имел доступ администратора и перестал работать на нас, мы должны были быть более осторожными и избегать этой ситуации.
«Это может быть тревожным сигналом для других. Мы много говорим о преимуществах удаленной работы, и большая часть индустрии WordPress работает удаленно. Это заставило нас понять, что нам нужно быть более пессимистичными, когда мы разрешаем любой доступ к нашей системе.
«Например, тот факт, что мы сейчас кодируем для себя требование входа в систему с помощью 2fa, означает, что мы не одиноки в этой уязвимой ситуации».
Неавторизованная электронная почта злоумышленника и ответная электронная почта WPML были отправлены на выходных, поэтому многие клиенты узнают об инциденте сегодня, когда вернутся к работе. Хельцер сказал, что клиенты до сих пор поддерживали его.
«Я думаю, что клиенты ценят тот факт, что мы связались с ними так быстро, как только могли, и мы все бросили и побежали решать эту проблему», – сказал он. «Я думаю, что у нас все еще есть повреждения. Клиенты не убегали от нас прямо сейчас, но хорошую репутацию вы строите годами. Подобный неприятный инцидент останется «в ваших записях». Это наш источник средств к существованию, и мы относимся к нему серьезно ».
