Tahimik na WordPress Breach, Posibleng Maging Susunod na Malaking Crypto Exploit

May critical na butas sa isang sikat na WordPress plugin na pwedeng gamitin ng mga hacker para ma-hijack ang mga crypto website na nakaharap sa users. Ang vulnerability na ito ay nagbubukas ng oportunidad para sa mga masasamang loob na mag-inject ng phishing pages, pekeng wallet links, at malicious redirects.

Bagamat hindi nito naaapektuhan ang mga wallet backend o token contracts, nalalantad nito ang front-end infrastructure na ginagamit ng mga users para ligtas na makipag-interact sa crypto services. Kahit na na-patch na ang plugin, libu-libong sites pa rin ang hindi protektado at gumagamit ng luma nang bersyon.

Posibleng Scam sa Isang WordPress Plugin

Grabe ang pagtaas ng crypto crimes ngayon, at maraming hindi inaasahang paraan ang pwedeng maging daan para sa bagong scam attacks. Halimbawa, isang bagong ulat mula sa Patchstack, isang digital security firm, ang nagbunyag ng bagong WordPress exploit na posibleng magdulot ng bagong crypto scams.

“Ang plugin na Post SMTP, na may mahigit 400,000 installations, ay isang email delivery plugin. Sa mga bersyon 3.2.0 at pababa, ang plugin ay vulnerable sa maraming Broken Access Control vulnerabilities sa REST API endpoints nito…na nagpapahintulot sa kahit sinong registered user (kasama ang Subscriber-level users na dapat ay walang pribilehiyo) na magsagawa ng iba’t ibang aksyon,” ayon sa ulat.

Kabilang sa mga function na ito ang: pagtingin sa email count statistics, pag-resend ng emails, at pagtingin sa detalyadong email logs, kasama ang buong email body.

Maaaring gamitin ng isang WordPress hacker ang vulnerability na ito para ma-intercept ang password reset emails, na posibleng magbigay sa kanila ng kontrol sa administrator accounts.

Maraming Target sa Crypto

Paano nga ba nagiging daan ang WordPress vulnerability na ito para sa crypto scams? Sa kasamaang palad, halos walang katapusan ang posibilidad. Ang mga pekeng customer support emails ay naging instrumento sa maraming phishing attempts kamakailan, kaya’t ang limitadong email control ay delikado na.

Ang isang compromised na site na gumagamit ng WordPress ay pwedeng maglagay ng pekeng tokens at scam websites sa external links gamit ang malicious scripts at redirects.

Maaaring makuha ng mga hacker ang passwords at subukang gamitin ito sa listahan ng mga exchanges. Pwede rin silang mag-inject ng malware sa bawat user na magbubukas ng isang partikular na page.

Safe Ba ang Mga Wallet Ko?

Sa unang tingin, karamihan sa mga crypto wallets at token platforms ay hindi gumagamit ng WordPress para sa kanilang core infrastructure. Pero, madalas itong gamitin para sa user-end functions tulad ng homepages at customer support.

Kung ang isang maliit o bagong proyekto na walang solidong engineering team ay ma-kompromiso, maaaring hindi mapansin ang security breaches. Ang mga infected na WordPress accounts ay pwedeng mangolekta ng user information para sa future scams o direkta nang i-redirect ang mga customer sa phishing attempts.

Paano Manatiling Protektado

Buti na lang at mabilis na naglabas ng fix ang Patchstack para sa bug na ito. Pero mahigit 10% ng Post SMTP users ang hindi pa nag-i-install nito. Ibig sabihin, nasa 40,000 websites ang vulnerable pa rin sa exploitation, na nagrerepresenta ng malaking security risk.

Dapat manatiling kalmado ang mga savvy crypto users at sundin ang standard security practices. Huwag magtiwala sa random email links, manatili sa trusted projects, gumamit ng hardware wallets, at iba pa. Ang pinakamalaking responsibilidad ay nasa mga site operators mismo.

Kung ang isang maliit na crypto project ay nagpapatakbo ng WordPress site nang hindi dinadownload ang bug fix ng Patchstack, pwedeng gamitin ito ng mga hacker para sa walang katapusang listahan ng scams. Sa madaling salita, ligtas ang mga crypto users hangga’t nag-iingat sila sa mga hindi mainstream na proyekto.