Automattic, la société éditrice de WordPress.com, a déclaré avoir corrigé un bug dans son application iOS officielle qui aurait pu exposer les jetons d’authentification de compte des utilisateurs à des sites Web tiers.
“Le problème créait le potentiel d’exposer les informations d’identification de sécurité à des sites Web tiers et n’a affecté que les sites Web privés dont les images hébergées à l’extérieur (par exemple, avec un service comme Flickr) sont visualisées ou composées avec l’application” a déclaré la société dans un courriel envoyé à ses utilisateurs cette semaine.
“Nous avons corrigé le problème et publié une version mise à jour de l’application sur l’App Store” est-il mentionné. Automattic a dit qu’aucun nom d’utilisateur et mot de passe n’avaient été exposés, mais seulement des “jetons de sécurité que l’application utilise pour communiquer/authentifier avec WordPress.com”.
Cela signifie que si un propriétaire de blog WordPress.com a utilisé l’application iOS pour créer ou modifier un message de blog contenant une image hébergée sur un autre site, alors ce site pourrait avoir reçu le jeton de sécurité WordPress.com par accident.
Il reste désormais un danger que les jetons d’authentification WordPress.com soient actuellement enregistrés dans les journaux du serveur de divers sites Web et services en ligne, et que les propriétaires ou employés de sites Web puissent aller chercher ces jetons dans leurs journaux de serveur Web. La valeur de ces jetons réside dans le fait qu’ils peuvent être utilisés pour accéder au compte WordPress.com d’un utilisateur sans mot de passe.
Les sites WordPress hébergés par WordPress ne sont pas affectés, car la version open-source utilise son système utilisateur autonome pour permettre aux utilisateurs d’accéder à leurs sites, et non aux comptes WordPress.com. Automattic n’a pas révélé les détails techniques de la faille, n’a pas dit comment ils ont découvert la fuite, ni combien d’utilisateurs ont été touchés.
Pour en savoir plus: