Pipdig, een klein bedrijfje dat zich specialiseert in commerciële thema’s, is afgelopen weekend het middelpunt van een schandaal geworden. Er kwamen meerdere berichten naar buiten waaruit bleek dat de Pipdig Power Pack plugin, ook wel Pipdig P3 plugin genoemd, gebruik zou maken van onethische codes. Zo zou er onder andere een Kill Switch in de plugin zijn ingebouwd waarmee Pipdig WordPress sites die de plugin draaien op afstand kan uitschakelen. Pipdig heeft inmiddels een update uitgerold, maar de problemen lijken nog steeds niet allemaal verholpen te zijn.
Onethische codes in Pipdig P3 plugin
Wordfence threat analyst Mikey Veenstra publiceerde op 29 maart een rapport met code voorbeelden van de achterdeuren die Pipdig in hun plugin had gebouwd.
“We hebben bevestigd dat de plugin, Pipdig Power Pack (of P3), code bevat die verdoezeld is met misleidende variabele namen, functie namen en comments om deze capaciteiten te verbergen.”
Het gaat om een ongeautoriseerde wachtwoord reset voor een hard-coded string, die bewust verhuld is met code comments. Die comments geven aan dat de string werd toegevoegd om “te controleren op nieuwe sociale kanalen om aan de navigatiebalk toe te voegen.” Veenstra liet ook zien dat de plugin code bevat voor een ongeautoriseerde database deletie, waardoor het Pipdig team in theorie elke WordPress site die de P3 plugin gebruikt, op afstand kapot zou kunnen maken.
Veenstra’s onderzoek onthulde nog meer verdachte remote calls in de plugin. Zo was er een lijst van populaire plugins die onmiddellijk gedeactiveerd worden zodra de P3 plugin geactiveerd wordt, zonder dat de gebruiker hier erg in heeft. Bovendien worden een aantal van deze plugins gedeactiveerd samen met admin_init. Dat wil zeggen dat pogingen van de gebruiker om de betreffende plugins te reactiveren, niets zullen uithalen. Maar dat is nog niet eens het ergste. Jem Turner, een freelance web developer in Engeland, publiceerde een uitgebreide analyse waarin ze aantoont dat Pipdig de P3 plugin heeft gebruikt om een DDoS aanval uit te voeren op een concurrent die ook WordPress thema’s aanbiedt.
Update verhelpt niet alle problemen
Er werd al snel een update door Pipdig uitgerold. De code voor site deletie werd verwijderd in versie 4.8.0, maar is nog steeds zorgelijk voor gebruikers die de plugin niet hebben geüpdatet. ASOS iOS Engineer Michael Waterfall testte de Kill Switch functie en demonstreerde dat deze nog steeds werkt met oude versies van de plugin.
Pipdig Creative Director Phil Clothier publiceerde een verklaring waarin hij claimt dat de recente beschuldigingen en geruchten geheel onterecht zijn.
Als de geruchten kloppen, dan houdt Pipdig zich dus niet aan de WordPress richtlijnen voor plugins. Wordfence schat dat de P3 plugin op 10.000 – 15.000 websites draait. Als jij ook gebruik maakt van de Pipdig P3 plugin, raden we je aan om zo snel mogelijk te updaten naar de laatste versie of indien mogelijk een alternatief te zoeken voor de plugin.
