HACKED: WordPress.com

Matt Mullenweg, um dos fundadores do WordPress, uma das maiores plataformas de blogging da actualidade, em comunicado na 4ª feira:

Nota difícil de comunicar hoje: vários dos nossos servidores na Automattic sofreram entradas de baixo-nível (root), e, potencialmente, qualquer coisa que estivesse nesses servidores pode ter sido relevada.

Temos estado diligentemente a rever os registos sobre essas entradas, para determinar a extensão da informação que foi exposta, e a reforçar os caminhos que foram usados para esse acesso. Assumimos que o nosso código-fonte foi exposto e copiado. Apesar da maioria nosso código ser aberto [opensource], algumas das partes do nosso código e dos nossos parceiros são sensíveis. No entanto, para além deste código, parece que a restante informação comprometida foi limitada.

in Security Incident.

Pode acontecer a qualquer um. Nada a acrescentar sobre esse aspecto, pelo menos enquanto não houver informação adicional. Mas há um aspecto que merece alguma atenção: apesar de, aparentemente, não ter sido comprometida informação para além desse código, há outros dados que podem ter ido de vela, tal como apontou Zeljka Zorz na HNS:

Como os servidores também contêm: código proprietário dos seus utilizadores; nomes de utilizadores, passwords e chaves API do Twitter e do Facebook, é recomendável que os utilizadores que têm blogs no WordPress.com mudem todas as passwords que possam ter sido comprometidas – mesmo sabendo que Mullerweg diz que as passwords estavam guardadas sob a forma de salted hashes via phpass – e que usem passwords diferentes para sites diferentes.

Está tudo dito. Ficamos a aguardar o desenrolar da novela.

Entretanto, se tiverem contas no WordPress.com, mudem as passwords. Aliás, mudem as passes do WordPress.com, e, se tiverem ligações entre o WP e outros serviços (e.g. Twitter ou Facebook), mudem-nas também. (Se, por acaso, a vossa password do WordPress até é igual às passwords de outros serviços, bem, já sabem o que têm que fazer, certo? Mudá-las.)