沒想到吧？安發(fā)現(xiàn)這年頭還有使用純文本記錄用戶密碼的，AIOS 是全插 Wordpress 平臺的一款一體式安全插件，該插件被超過 100 萬個網(wǎng)站安裝并使用。記錄南京外圍上門（南京外圍預(yù)約外圍上門外圍女）微信199-7144=9724一二線城市外圍預(yù)約、空姐、模特、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源

AIOS 提供 Web 防火墻、用純用戶內(nèi)容保護和安全登錄功能，文本網(wǎng)還可以提供防止機器人惡意爆破，密碼為此該插件會記錄各種登錄記錄以提供登錄、藍點注銷、安發(fā)現(xiàn)登錄失敗事件分析。全插南京外圍上門（南京外圍預(yù)約外圍上門外圍女）微信199-7144=9724一二線城市外圍預(yù)約、空姐、模特、熟女、白領(lǐng)、老師、優(yōu)質(zhì)資源

大約三周前有用戶發(fā)現(xiàn) AIOS 5.1.9 版將所有用戶的記錄登錄事件記錄到 aiowps_audit_log 數(shù)據(jù)表中，而且還記錄了用戶的用純用戶密碼。這種行為實際是文本網(wǎng)違反了某些規(guī)定的，比如歐盟的密碼 GDPR。

然后 AIOS 開發(fā)商稱這是藍點一個已知 BUG，將在下個版本修復(fù)，安發(fā)現(xiàn)接著發(fā)布的這個新開發(fā)版不僅沒有刪除已經(jīng)記錄的數(shù)據(jù)，而且還使用明文記錄了所有登錄密碼。

到上周 AIOS 又發(fā)了個新版本并表示 5.2.0 版已經(jīng)解決了問題，包括錯誤地使用純文本記錄了用戶密碼，這些密碼會被直接以純文本記錄到 Wordpress 數(shù)據(jù)表中。

值得注意的是目前仍然有超過 75 萬個網(wǎng)站在使用 AIOS 舊版本，使用這些舊版本的網(wǎng)站仍然很容易遭到攻擊，而 AIOS 開發(fā)商 Updraft 似乎也想淡化此次事件，因此都沒有發(fā)布提醒建議管理員立即更新插件。

所以現(xiàn)在的局面就是還未更新的網(wǎng)站可能會在某個時候被黑然后泄露數(shù)據(jù)然后再引起一波關(guān)注，一時三刻估計解決不了這么多網(wǎng)站還不更新插件。

還有個選擇是 Wordpress 官方選擇強制更新，通常這是 Wordpress 不愿意做的事情，但如果確實有嚴(yán)重安全問題需要解決時，他們才會進行強制更新。現(xiàn)在 AIOS 的問題只是記錄了純文本密碼，但未發(fā)生數(shù)據(jù)泄露問題，所以還不算是嚴(yán)重的安全問題。

本文地址：http://www.ylbjcn.cn/news/176f19499629.html