O popular plug-in de segurança All-In-One Security (AIOS) projetado para sites WordPress está instalado em mais de 1 milhão de recursos da Internet. Descobriu-se que o plug-in vinha registrando senhas de usuários em texto simples por várias semanas e armazenando-as em um banco de dados acessível aos administradores do site. Para corrigir esse problema, os desenvolvedores lançaram um patch.
O AIOS captura senhas de usuário durante seu processo de autorização. Segundo os desenvolvedores, o registro de senhas em texto simples ocorreu devido a um bug de software feito no código AIOS 5.1.9, lançado em maio deste ano. Esta semana, os desenvolvedores lançaram o AIOS 5.2.0, após a instalação, o problema de gravação de senhas será resolvido e os dados adicionados anteriormente ao banco de dados serão excluídos.
Um porta-voz dos desenvolvedores do AIOS confirmou que “você deve estar logado com privilégios administrativos de nível superior para tirar proveito desse bug”. No entanto, os especialistas em segurança da informação há muito aconselham os administradores de sites a não armazenar senhas em texto não criptografado. Isso se deve ao fato de que, por muitos anos, foi relativamente fácil para os hackers invadir sites e roubar dados armazenados em bancos de dados. Nesse contexto, escrever senhas em texto não criptografado em qualquer banco de dados, independentemente de quem tenha acesso a ele, é uma violação de segurança.
Assim, o plug-in AIOS corrigiu as senhas dos usuários em texto não criptografado por pelo menos três semanas, até que um dos usuários do software percebesse esse recurso. Junto com o lançamento da nova versão do plug-in, os desenvolvedores pediram desculpas aos usuários pelo erro e recomendaram a atualização do AIOS para a versão 5.2.0 o mais rápido possível.