De veiligheid van honderden Twitter accounts is de afgelopen jaren gecompromitteerd. Dat bleek toen bekend werd dat de populaire Social Network Tabs plugin (die in de afgelopen 7 jaar meer dan 53.000 keer gedownload is) account access tokens in de broncode van de WordPress websites zou opslaan.
Access tokens
Als je niet weet waar access tokens goed voor zijn; ze zorgen dat je op je computer of smartphone aangemeld blijft op een website. Dit bespaart tijd, omdat gebruikers dan niet steeds opnieuw hun wachtwoord of two-factor authenticatie code hoeven in te typen om in te loggen. Doordat de access tokens van gelinkte Twitter handles in de broncode van de website werden opgeslagen, waren ze gemakkelijk zichtbaar voor iedereen die toegang had tot de broncode.
Daar moet bij vermeld worden dat de meeste sites niet in staat zijn om een gestolen token te onderscheiden van een token dat door de eigenaar van het account wordt gebruikt.
Ontdekking
De bug werd ontdekt door de Franse veiligheidsonderzoeker Baptiste Robert (ook wel bekend onder zijn pseudoniem Elliot Alderson), die zijn bevindingen deelde met TechCrunch. Hij voerde een test uit waarbij hij erin slaagde om access tokens van meer dan 400 gelinkte Twitter accounts te achterhalen. Hij concludeerde tevens dat de verkregen tokens hem “read/write” toegang verleenden; hij was in staat om een willekeurige tweet meerdere keren vanaf de gelinkte Twitter accounts als favoriet te markeren. Met andere woorden: een hacker zou heel gemakkelijk toegang kunnen krijgen tot zo’n gelinkt Twitter profiel, en er alles mee kunnen doen wat hij wilde.
Op 1 december informeerde Robert ook Twitter zelf over de kwetsbaarheid in de Social Network Tabs plugin. Hij verzocht het platform om de access tokens ongeldig te maken, waardoor de accounts weer veilig zouden zijn. Twitter verstuurde een e-mail over de kwestie naar de getroffen gebruikers:
“Elke WordPress gebruiker die deze plugin geïnstalleerd heeft wordt hierbij gevraagd deze te verwijderen, hun Twitter wachtwoord te resetten en het access token ongeldig te maken door de applicatie van Twitters apps te verwijderen.”
Social Network Tabs plugin nog steeds in gebruik
Design Chemical, de software ontwikkelaar die verantwoordelijk is voor het maken van de plugin, weigerde op de situatie te reageren. Het ergste was nog dat het erop leek dat de plugin nog steeds behoorlijk populair was – tot voor kort werd Social Network Tabs elke dag nog door meerdere mensen gedownload. En dat terwijl de plugin voor het laatst was geüpdatet in 2013! CodeCanyon heeft de plugin inmiddels verwijderd. WordPress gebruikers die de plugin nog steeds gebruiken raden we aan deze onmiddellijk te verwijderen en een alternatief te zoeken, zoals de Social Warfare plugin.
Lees ook: Is die WordPress plugin veilig? 15 redenen om een plugin toch maar niet te downloaden