• Pagina principala
  • Articole
  • Ghid
  • Pipdig actualizează pluginul P3 după ce rapoartele expun ușile din spate ale furnizorilor, comutatorul de oprire încorporat și codul DDoS rău intenționat

Pipdig actualizează pluginul P3 după ce rapoartele expun ușile din spate ale furnizorilor, comutatorul de oprire încorporat și codul DDoS rău intenționat

Publicat: 2019-04-03

În weekend, Pipdig, o mică companie de teme comerciale, a fost în centrul unui scandal după ce mai multe rapoarte au dezvăluit o serie de adăugiri de cod neetic la pluginul său Pipdig Power Pack (P3).

Vineri, 29 martie, analistul de amenințări Wordfence, Mikey Veenstra, a publicat un raport cu exemple de cod ale ușilor din spate integrate de Pipdig în pluginul lor, împreună cu câteva completări neplăcute și discutabile la cod.

„Am confirmat că pluginul, Pipdig Power Pack (sau P3), conține cod care a fost înfundat cu nume de variabile, nume de funcții și comentarii înșelătoare pentru a ascunde aceste capacități”, a spus Veenstra.

Acestea includ o resetare a parolei neautentificate la un șir codificat, care a fost ascuns în mod deliberat cu comentarii de cod care indică faptul că a fost adăugată pentru a „verifica dacă există noi canale sociale de adăugat în bara de navigare”. Veenstra a demonstrat, de asemenea, modul în care pluginul conținea cod pentru ștergerea neautentificată a bazei de date, în care echipa Pipdig putea distruge de la distanță orice site WordPress folosind pluginul P3.

Codul pentru ștergerea de la distanță a site-ului a fost eliminat în versiunea 4.8.0, dar este încă o preocupare pentru utilizatorii care nu s-au actualizat. Michael Waterfall, inginer iOS la ASOS, a testat funcția „kill switch” și a demonstrat că încă funcționează cu versiunile anterioare.

Investigația lui Veenstra a descoperit, de asemenea, apeluri la distanță îndoielnice în evenimentele cron ale pluginului, conținut nedezvăluit și rescrieri de configurare și o listă de plugin-uri populare care sunt imediat dezactivate atunci când P3 este activat, fără știrea utilizatorului. El a descoperit că unele dintre aceste plugin-uri sunt dezactivate împreună cu admin_init, așa că orice încercare de utilizator de a reactiva plugin-urile nu va rămâne.

Wordfence estimează că pluginul P3 are o bază de instalare de 10.000-15.000 de site-uri. Modificările făcute în versiunea 4.8.0 a pluginului nu sunt identificate în mod transparent în jurnalul de modificări, așa că nu este ușor pentru utilizatori să știe ce s-a schimbat. Filtrarea conținutului și dezactivările pluginului rămân în cea mai recentă versiune. Aceste tipuri de funcții acoperite efectuate fără permisiune ar putea avea consecințe neintenționate asupra site-urilor care utilizează pluginul, pe care utilizatorii non-tehnici ar putea să nu le poată repara singuri.

Pluginul Pipdig P3 a efectuat un atac DDoS pe site-ul unui concurent

Jem Turner, un dezvoltator web independent cu sediul în Marea Britanie, a publicat o analiză îndelungată a pluginului P3 în aceeași zi în care Wordfence și-a lansat analiza. Ea a analizat în continuare solicitările de la distanță, demonstrând cum Pipdig a folosit pluginul P3 pentru a efectua un atac DDoS asupra unui concurent care oferă, de asemenea, teme WordPress și servicii de instalare bloggerilor. Codul declanșează o lucrare cron orară pe site-urile utilizatorilor, folosind în mod eficient serverele clienților acestora pentru a trimite cereri rău intenționate către site-ul concurentului.

Comentariul codului ne spune că aceasta este „verificarea cache-ului CDN (rețeaua de livrare a conținutului)”. Nu este. Aceasta este efectuarea unei cereri GET pe un fișier (id39dqm3c0_license_h.txt) aflat pe pipdigz.co.uk, care ieri dimineață a returnat „https://kotrynabassdesign.com/wp-admin/admin-ajax.php” în corpul răspunsului.

În fiecare oră noapte și zi, fără nicio intervenție manuală, orice blogger care rulează pluginul pipdig va trimite o solicitare cu un agent de utilizator fals la „https://kotrynabassdesign.com/wp-admin/admin-ajax.php” cu o cerere aleatorie. șir numeric atașat. Acest lucru realizează efectiv un DDoS (Distributed Denial of Service) la scară mică pe serverul kotrynabassdesign.com.

Turner a contactat-o ​​și pe Kotryna Bass, concurentul lui Pipdig, care a spus că și-a contactat gazda după ce a descoperit că fișierul ei admin-ajax.php era supus unui fel de atac. Schimburile lui Bass cu gazda ei sunt, de asemenea, publicate în raportul lui Turner.

Postarea lui Turner a explicat modul în care codul pluginului P3 al Pipdig a manipulat link-urile pentru a indica propriile produse și servicii atunci când un utilizator include un link către un concurent în conținut:

Aici avem pluginul pipdig care caută mențiuni despre „blogerize.com” cu șirul împărțit în două și reunit – concatenat – pentru a face mai dificilă găsirea mențiunilor concurenților atunci când faceți o masă „Găsiți în fișiere” în plugin (printre altele ). Când pluginul găsește link-uri către blogerize.com în conținutul bloggerului (postări, pagini), acestea sunt schimbate cu un link către „pipdig.co/shop/blogger-to-wordpress-migration/”, adică propriile servicii de migrare a blogului pipdig. Schimbarea acestor link-uri sporește beneficiul SEO pentru pipdig, iar marea majoritate a bloggerilor nu ar observa schimbarea (mai ales dacă pagina/postarea ar fi editată, linkul pentru blogerizare ar apărea în backend ca de obicei).

Pluginul nu a cerut permisiunea utilizatorilor înainte de a efectua oricare dintre aceste acțiuni și majoritatea dintre ele au fost implementate cu cod ofuscat. Investigația lui Turner acoperă, de asemenea, modul în care pluginul P3 ar putea colecta date și poate schimba parolele de administrator. Multe dintre constatări se suprapun cu analiza Wordfence.

„Știam că Wordfence a fost contactat pentru o opinie, deși nu știam că scriu o postare și invers”, a spus Turner. „Totuși, nu am fost surprins că au scris despre asta, având în vedere riscul pentru utilizatorii WordPress.”

Ea a fost în contact cu autoritățile cu privire la practicile de codificare neetice ale Pipdig și încălcările confidențialității.

„Din partea mea a lucrurilor, am fost în contact cu Action Fraud (am trimis un raport prin intermediul site-ului lor) și NCSC (care m-a îndrumat înapoi la Action Fraud și mi-a dat un număr de telefon). Din partea pipdig, există amenințări cu acțiuni legale în postarea lor de pe blog, dar încă nu am primit nimic.”

Răspunsul public al lui Pipdig depășește preocupările critice

Directorul de creație al Pipdig, Phil Clothier, a publicat un răspuns public din partea companiei, care se deschide prin a caracteriza investigațiile recente drept „diverse acuzații și zvonuri care se răspândesc despre pipdig” și include o cerere emoționantă cu privire la cât de supărătoare au fost evoluțiile recente pentru compania sa. El susține că echipa sa și suporterii lor sunt hărțuiți.

După ce a eliminat versiunea 4.8.0 a pluginului P3, eliminând o parte, dar nu tot, codul ofensator, Clothier optează pentru un format de stil Q&A pentru postarea sa, punând fiecare întrebare la timpul prezent:

Sunteți concurenți DDOS?
Nu.

„Omorâți” site-uri?
Nu!

Aveți posibilitatea de a ucide site-uri prin intermediul pachetului de putere pipdig?
Nu

În ceea ce privește caracteristica „kill switch” pe care au încorporat-o, care detectează toate tabelele cu prefixul WordPress și elimină fiecare dintre ele, Clothier a spus că este pur și simplu o funcție pentru a reseta un site la setările implicite. El a denaturat în mod deliberat ceea ce face:

Există o funcție într-o versiune mai veche a pluginului care putea fi folosită pentru a reseta un site la setările implicite. Această funcție nu avea niciun risc de utilizare rău intenționată sau neintenționată. Pot spune categoric că nu exista niciun risc pentru site-ul tău dacă foloseai o temă pipdig. Această caracteristică a fost dezgropată și etichetată „Kill Switch” pentru un impact negativ maxim asupra noastră.

Clothier susține că funcția era disponibilă în pluginul P3 în iulie 2018, când o terță parte a început să posteze teme Pipdig pentru vânzare pe propriul site:

O terță parte a putut să descarce toate temele noastre în mod ilegitim și să le posteze pe o clonă a propriului nostru site. Aceasta a inclus previzualizări ale temelor noastre și posibilitatea de a le achiziționa. Am fost mai întâi alertați cu privire la acest lucru de către oameni care achiziționaseră o temă pipdig de acolo, dar au descoperit că anumite funcții nu funcționau corect. În urma investigațiilor, am constatat că victima achiziționase tema de la a treia parte, crezând că suntem noi. A treia parte nu numai că a câștigat beneficiul financiar al plății temei, dar a folosit-o și ca o modalitate de a injecta malware și reclame în site-ul victimei. Funcția de resetare a fost pusă în aplicare pentru a elimina capacitatea terței părți de a găzdui site-uri de previzualizare cu temele noastre. A funcționat și de atunci au dispărut. Funcția a fost apoi eliminată într-o versiune ulterioară a pluginului.

Aceasta este o afirmație falsă, așa cum a subliniat Wordfence într-un articol actualizat. Prima instanță a codului responsabil pentru ștergerea bazei de date a fost trimisă pluginului în noiembrie 2017.

Compania nu a reușit să abordeze cele mai critice preocupări prezentate în analiza Wordfence la prima sa trecere la emiterea unei declarații publice. În schimb, în ​​ceea ce privește coordonarea unui atac DDoS asupra concurenților, Pipdig dă vina pe utilizatori și sugerează că este posibil să fi adăugat adresa URL a concurentului pe site-urile lor.

„Acum analizăm de ce această funcție returnează această adresă URL”, a spus Clothier. „Cu toate acestea, pare să sugereze că unele dintre „URL-urile autorului” au fost setate la „kotrynabassdesign.com”. În prezent, nu știm de ce este cazul sau dacă proprietarul site-ului a schimbat acest lucru în mod intenționat.”

Alte investigații publicate astăzi de Wordfence au arătat că Pipdig a adăugat și cod DDoS la șabloanele sale Blogger și a emis în mod activ solicitări rău intenționate până ieri:

În timpul investigației despre pluginul și temele WordPress de la Pipdig, am găsit și un cod curios asociat cu temele lor Blogger. Acest cod face parte din campania DDoS suspectată a Pipdig împotriva concurenților lor și a fost activ până la 1 aprilie, la patru zile după negarea de către Pipdig a unui astfel de comportament.

S-a confirmat că unele dintre temele Pipdig Blogger efectuează apeluri JavaScript externe către serverul Pipdig, în special către scriptul hXXps://pipdigz[.]co[.]uk/js/zeplin1.js.

Pe 31 martie, pe măsură ce investigațiile au devenit publice, Pipdig și-a șters depozitul public Bitbucket și l-a înlocuit cu unul „curat”, eliminând trei ani de istoric de comitere. Wordfence și mulți alții au clonat depozitul înainte de a fi șters și au salvat instantanee ale paginilor pentru a le cita în investigație.

Declarația publică a lui Pipdig conține o serie de alte afirmații false care sunt subliniate în piesa ulterioară a Wordfence cu exemple de cod. Clothier închide articolul aruncând aspersiune asupra presei, probabil pentru a încuraja clienții să nu aibă încredere în ceea ce au citit din alte surse.

Am contactat Pipdig pentru comentariul lor asupra evenimentelor recente, dar Clothier a refuzat să răspundă la oricare dintre întrebările mele. Unul dintre acestea a fost motivul pentru care pluginul dezactivează pluginul de cache al Bluehost fără a informa clienții.

Clothier a spus că nu a avut niciun comentariu în afară de ceea ce a spus în declarația publică, dar a încurajat pe oricine interesat să citească noile comentarii adăugate la cod în versiunea 4.9.0:

Am actualizat, de asemenea, versiunea 4.9.0 a pluginului, care include comentarii suplimentare în cod, care sperăm să ajute la clarificarea lucrurilor, cum ar fi problemele legate de memorarea în cache Bluehost și filtrul the_content().

Dacă cineva nu este sigur, vă recomandăm să actualizați la cea mai recentă versiune ca întotdeauna. Cu toate acestea, susținem și că versiunile anterioare nu au avut probleme serioase.

Pipdig a refuzat să răspundă la întrebări despre licențiere, dar produsele nu par să aibă licență GPL. Acesta poate fi motivul pentru care compania a considerat că este în dreptul său să ia măsuri împotriva celor despre care ei cred că le-au „furat” temele.

Clienții Pipdig împărtășesc reacții mixte la rapoartele privind ușile din spate ale furnizorilor și atacurile DDoS

În ceea ce este poate unul dintre cele mai nesăbuite abuzuri pe care le-am văzut vreodată de la o companie tematică din istoria WordPress, baza de utilizatori ai Pipdig a fost folosită, fără să știe, pentru a viza concurenții companiei. Indiferent de motivul companiei de a combate distribuirea neautorizată a temelor lor, aceste tipuri de uși din spate și rescrieri de conținut nedezvăluite sunt de nedefendat. Ei exploatează încrederea utilizatorilor și, în acest caz, victimele au fost în primul rând bloggeri.

Unul dintre cele mai derutante aspecte ale acestei povești este că mulți dintre utilizatorii lui Pipdig par să nu fie dezorientați de gravitatea constatărilor din aceste rapoarte. Fără cunoașterea deplină a funcționării interioare a unui produs, mulți clienți iau decizii în funcție de modul în care se simt despre o companie, indiferent dacă se confruntă cu fapte care ar trebui să-i determine să-și pună la îndoială experiențele.

Alții sunt supărați că și-au folosit site-urile într-un atac. Configurarea unei teme noi nu este o sarcină banală pentru utilizatorii non-tehnici, care ar fi trebuit să plătească un dezvoltator pentru a-și lansa site-urile în primul rând.

„Mintea mea este absolut uluită de răspunsul public al pipdig”, a spus Jem Turner. „Înțeleg că se bazau pe experiența complet non-tehnologică a utilizatorilor lor pentru a-i deruta și cu siguranță părea să funcționeze la început, dar oricine are chiar și cele mai mici cunoștințe de codificare poate vedea că mint și eu sincer. nu înțeleg cum cred ei că vor scăpa de asta.”

Acest incident pune în lumină cât de nereglementat este pluginul comercial și ecosistemul tematic și cât de puțină protecție au utilizatorii față de companiile care abuzează de puterea lor. Dacă sunteți un client Pipdig afectat de acest incident, nu există nicio asigurare că compania nu va construi mai multe uși din spate pe site-ul dvs. în viitor. Actualizările pluginului nu sunt revizuite de niciun fel de autoritate. Din fericire, există câteva acțiuni pe care le puteți lua pentru a crea un mediu mai sigur pentru site-ul dvs. web.

În primul rând, căutați teme și pluginuri cu licență GPL, deoarece acestea vă oferă mai multe libertăți ca utilizator și sunt compatibile cu licența legală a WordPress. Produsele cu licență GPL reprezintă, de asemenea, un indiciu puternic că autorii respectă libertățile utilizatorilor și principiile economice comune pe care le suportă această licență open source.

Multe companii tematice de renume aleg să găzduiască pluginurile însoțitoare ale produselor lor pe WordPress.org pentru a facilita distribuția și livrarea actualizărilor. Directorul oficial nu permite aceste tipuri de practici de codare umbrite descrise în acest articol și toate pluginurile trec printr-o revizuire de securitate de către echipa WordPress Plugin. Dacă sunteți îngrijorat de calitatea codului și de potențialul de abuz, faceți o mică cercetare despre următorul dvs. furnizor potențial de teme comerciale sau optați pentru teme și pluginuri gratuite găzduite de WordPress.org care au fost supuse unui proces de verificare mai riguros.