एक खामोश WordPress सेंध बन सकती है अगला बड़ा क्रिप्टो एक्सप्लॉइट

एक लोकप्रिय WordPress प्लगइन में एक गंभीर कमजोरी है जो हैकर्स को यूजर-फेसिंग क्रिप्टो वेबसाइट्स को हाइजैक करने की अनुमति दे सकती है। यह कमजोरी संभावित रूप से दुर्भावनापूर्ण एक्टर्स को फिशिंग पेज, नकली वॉलेट लिंक और दुर्भावनापूर्ण रीडायरेक्ट्स इंजेक्ट करने के अवसर प्रदान करती है।

हालांकि यह खामी वॉलेट बैकएंड्स या टोकन कॉन्ट्रैक्ट्स को प्रभावित नहीं करती है, यह फ्रंट-एंड इन्फ्रास्ट्रक्चर को उजागर करती है जिस पर यूजर्स क्रिप्टो सेवाओं के साथ सुरक्षित रूप से इंटरैक्ट करने के लिए निर्भर होते हैं। हालांकि प्लगइन को अब पैच कर दिया गया है, फिर भी हजारों साइट्स असुरक्षित हैं, जो पुराने वर्जन चला रही हैं।

एक WordPress Plugin की धोखाधड़ी की संभावना

क्रिप्टो अपराध अभी आसमान छू रहे हैं, और कई अप्रत्याशित वेक्टर नए स्कैम अटैक्स का कारण बन सकते हैं। उदाहरण के लिए, एक हालिया रिपोर्ट Patchstack, एक डिजिटल सुरक्षा फर्म से, एक नए WordPress एक्सप्लॉइट का खुलासा करती है जो संभावित रूप से नए क्रिप्टो स्कैम्स को सक्षम कर सकता है।

“प्लगइन Post SMTP, जिसके 400,000 से अधिक इंस्टॉलेशन हैं, एक ईमेल डिलीवरी प्लगइन है। वर्जन 3.2.0 और उससे नीचे के वर्जन में, प्लगइन अपने REST API एंडपॉइंट्स में कई ब्रोकन एक्सेस कंट्रोल कमजोरियों के लिए असुरक्षित है… जिससे कोई भी रजिस्टर्ड यूजर (यहां तक कि सब्सक्राइबर-लेवल यूजर्स जिन्हें कोई विशेषाधिकार नहीं होना चाहिए) विभिन्न कार्य कर सकते हैं,” यह दावा किया गया।

इन फंक्शन्स में शामिल थे: ईमेल काउंट स्टैटिस्टिक्स देखना, ईमेल्स को फिर से भेजना, और विस्तृत ईमेल लॉग्स देखना, जिसमें पूरे ईमेल बॉडी शामिल हैं।

एक WordPress हैकर इस कमजोरी का उपयोग पासवर्ड रीसेट ईमेल्स को इंटरसेप्ट करने के लिए कर सकता है, जिससे एडमिनिस्ट्रेटर अकाउंट्स का नियंत्रण प्राप्त हो सकता है।

क्रिप्टो में कई लक्ष्य

तो, यह WordPress कमजोरी क्रिप्टो स्कैम्स का कारण कैसे बन सकती है? दुर्भाग्यवश, संभावनाएं लगभग अनंत हैं। नकली ग्राहक सहायता ईमेल्स कई हालिया फिशिंग प्रयासों में महत्वपूर्ण रहे हैं, इसलिए सीमित ईमेल नियंत्रण पहले से ही खतरनाक है।

एक समझौता की गई साइट जो WordPress का उपयोग कर रही है, नकली टोकन और स्कैम वेबसाइट्स को बाहरी लिंक में दुर्भावनापूर्ण स्क्रिप्ट्स और रीडायरेक्ट्स का उपयोग करके डाल सकती है।

हैकर्स पासवर्ड्स को इकट्ठा कर सकते हैं और उन्हें एक्सचेंजेस की सूची में उपयोग करने का प्रयास कर सकते हैं। वे यहां तक कि हर यूजर में मैलवेयर इंजेक्ट कर सकते हैं जो एक निश्चित पेज खोलता है।

क्या मेरे वॉलेट सुरक्षित हैं?

ऊपरी तौर पर, अधिकांश क्रिप्टो वॉलेट्स और टोकन प्लेटफॉर्म्स अपने कोर इन्फ्रास्ट्रक्चर के लिए WordPress का उपयोग नहीं करते हैं। हालांकि, यह अक्सर यूजर-एंड फंक्शन्स जैसे होमपेजेस और ग्राहक सहायता के लिए उपयोग किया जाता है।

अगर कोई छोटा या नया प्रोजेक्ट बिना मजबूत इंजीनियरिंग टीम के समझौता कर लेता है, तो सुरक्षा उल्लंघन अनदेखे रह सकते हैं। संक्रमित WordPress अकाउंट्स भविष्य के घोटालों के लिए उपयोगकर्ता जानकारी इकट्ठा कर सकते हैं या सीधे ग्राहकों को फिशिंग प्रयासों की ओर ले जा सकते हैं।

कैसे सुरक्षित रहें

सौभाग्य से, Patchstack ने इस विशेष बग के लिए जल्दी से एक फिक्स जारी किया। लेकिन Post SMTP के 10% से अधिक उपयोगकर्ताओं ने इसे इंस्टॉल नहीं किया है। इसका मतलब है कि लगभग 40,000 वेबसाइट्स शोषण के लिए असुरक्षित हैं, जो एक बड़ा सुरक्षा जोखिम है।

समझदार क्रिप्टो उपयोगकर्ताओं को शांत रहना चाहिए और मानक सुरक्षा प्रथाओं का पालन करना चाहिए। यादृच्छिक ईमेल लिंक पर भरोसा न करें, विश्वसनीय प्रोजेक्ट्स के साथ रहें, हार्डवेयर वॉलेट्स का उपयोग करें, आदि। सबसे बड़ी जिम्मेदारी साइट ऑपरेटर्स पर ही है।

अगर कोई छोटा क्रिप्टो प्रोजेक्ट WordPress साइट चलाता है और Patchstack का बग फिक्स डाउनलोड नहीं करता है, तो हैकर्स इसका उपयोग अंतहीन घोटालों की सूची को बढ़ावा देने के लिए कर सकते हैं। संक्षेप में, क्रिप्टो उपयोगकर्ता सुरक्षित रह सकते हैं जब तक वे गैर-मुख्यधारा प्रोजेक्ट्स के साथ सावधानी बरतते हैं।