Popüler bir WordPress eklentisindeki kritik bir güvenlik açığı, bilgisayar korsanlarının kullanıcıya yönelik kripto para sitelerini ele geçirmesine olanak tanıyabilir. Bu güvenlik açığı, kötü niyetli aktörlerin oltalama sayfaları, sahte cüzdan bağlantıları ve zararlı yönlendirmeler eklemesi için fırsatlar yaratabilir.
Bu hata cüzdan arka uçlarını veya token kontratlarını etkilemese de, kullanıcıların kripto para hizmetleriyle güvenli bir şekilde etkileşim kurmak için güvendiği ön uç altyapısını tehlikeye atıyor. Eklenti güncellenmiş olsa da, on binlerce site eski sürümleri çalıştırarak korunmasız kalmaya devam ediyor.
Bir WordPress Eklentisi’nin Dolandırıcılık Potansiyeli
Kripto para suçları şu anda tavan yapmış durumda ve birçok beklenmedik vektör yeni dolandırıcılık saldırılarına yol açabilir. Örneğin, dijital güvenlik firması Patchstack’ten gelen son bir rapor, yeni bir WordPress açığının potansiyel olarak yeni kripto para dolandırıcılıklarına olanak tanıyabileceğini ortaya koyuyor.
“Post SMTP eklentisi, 400.000’den fazla kurulumla bir e-posta teslimat eklentisidir. 3.2.0 ve altı sürümlerde, eklenti REST API uç noktalarında birden fazla Kırık Erişim Kontrolü güvenlik açığına karşı savunmasızdır…herhangi bir kayıtlı kullanıcının (hiçbir ayrıcalığı olmaması gereken Abone düzeyindeki kullanıcılar dahil) çeşitli işlemler gerçekleştirmesine olanak tanır,” dedi.
Bu işlevler arasında e-posta sayısı istatistiklerini görüntüleme, e-postaları yeniden gönderme ve e-posta gövdesi dahil olmak üzere ayrıntılı e-posta günlüklerini görüntüleme yer alıyordu.
Bir WordPress korsanı, bu güvenlik açığını kullanarak şifre sıfırlama e-postalarını ele geçirebilir ve potansiyel olarak yönetici hesaplarının kontrolünü ele geçirebilir.
Kripto Para’da Birçok Hedef
Peki, bu WordPress güvenlik açığı kripto para dolandırıcılıklarına nasıl yol açabilir? Ne yazık ki, olasılıklar neredeyse sınırsız. Sahte müşteri destek e-postaları, son zamanlardaki birçok oltalama girişiminde etkili olmuştur, bu yüzden sınırlı e-posta kontrolü zaten tehlikelidir.
WordPress kullanan bir tehlikeye açık site, kötü niyetli komut dosyaları ve yönlendirmeler kullanarak harici bağlantılara sahte token’lar ve dolandırıcı siteler ekleyebilir.
Hacker’lar şifreleri toplayabilir ve bunları bir kripto para borsası listesinde kullanmayı deneyebilir. Hatta belirli bir sayfayı açan her kullanıcıya kötü amaçlı yazılım enjekte edebilirler.
Cüzdanlarım Güvende mi?
Yüzeyde, çoğu kripto para cüzdanı ve token platformu, temel altyapıları için WordPress kullanmaz. Ancak, genellikle ana sayfalar ve müşteri desteği gibi kullanıcıya yönelik işlevler için kullanılır.
Güçlü bir mühendislik ekibine sahip olmayan küçük veya yeni bir proje tehlikeye girerse, güvenlik ihlalleri fark edilmeyebilir. Enfekte olmuş WordPress hesapları, gelecekteki dolandırıcılıklar için kullanıcı bilgilerini toplayabilir veya doğrudan müşterileri oltalama girişimlerine yönlendirebilir.
Nasıl Güvende Kalınır
Neyse ki, Patchstack bu özel hata için hızlı bir şekilde bir düzeltme yayınladı. Ancak Post SMTP kullanıcılarının %10’undan fazlası bu düzeltmeyi yüklemedi. Bu, yaklaşık 40.000 sitenin istismara açık olduğu anlamına geliyor ve bu da büyük bir güvenlik riski oluşturuyor.
Bilgili kripto para kullanıcıları sakin kalmalı ve standart güvenlik uygulamalarını sürdürmelidir. Rastgele e-posta bağlantılarına güvenmeyin, güvenilir projelere bağlı kalın, donanım cüzdanları kullanın, vb. En büyük sorumluluk site operatörlerinin kendilerine düşüyor.
Küçük bir kripto para projesi, Patchstack’in hata düzeltmesini indirmeden bir WordPress sitesi çalıştırıyorsa, hacker’lar bunu sonsuz bir dolandırıcılık listesi için kullanabilir. Kısacası, kripto para kullanıcıları, ana akım olmayan projelere karşı dikkatli oldukları sürece güvende olmalıdır.
Sorumluluk Reddi
Sorumluluk Reddi: Trust Project yönergelerine uygun olarak BeInCrypto, haberlerde tarafsız ve şeffaf raporları garanti eder. Bu haber makalesi doğru ve güncel bilgi vermeyi amaçlamaktadır. Ancak okuyucuların bu içeriğe dayalı herhangi bir karar vermeden önce tüm bilgileri bağımsız olarak doğrulamaları ve bir profesyonele danışmaları tavsiye edilir.
