O plug-in oficial do Chat do Facebook para WordPress é um complemento para donos de sites que permite aos usuários se comunicarem facilmente através da rede social sem a necessidade de acessar a página oficial do Facebook ou abrir o Messenger da rede social. Além disso, oferece funcionalidades adicionais, como a possibilidade de configurar respostas automáticas e respostas para perguntas frequentes (FAQ) através da disponibilização de informações úteis para os usuários. Esse plug-in, que conta com mais de 80.000 usuários ativos, foi atualizado há dois dias para a versão 1.6, já que pesquisadores descobriram em junho deste ano que a versão anterior (1.5) apresentava uma falha de segurança que permite a qualquer atacante interceptar mensagens enviadas pelos usuários ao trocar a conta do Facebook associada ao plug-in por uma controlada pelo atacante.

A falha está na incapacidade de verificar se uma solicitação é proveniente de um administrador autenticado, "permitindo que qualquer usuário autenticado, incluindo contas no nível de assinante, envie uma solicitação para atualizar as opções e substituir a conta do Facebook associada", explica o site Wordfence. Dessa forma, um atacante pode associar sua própria conta do Facebook Messenger atualizando o ID da página em qualquer site. Para que isso ocorra, o usuário só precisa se registrar no site e acessar o painel wp-admin. A equipe do Wordfence acrescenta como um lembrete que "por padrão, todas as contas de usuário podem acessar a área wp-admin de um site criado no WordPress". Depois que a conta do Facebook Messenger do atacante é associada ao plug-in, o atacante recebe qualquer mensagem enviada pelo Facebook Messenger e o dono do site e da conta do Facebook deixam de receber mensagens.

Os pesquisadores que descobriram a falha destacam que uma vulnerabilidade como essa pode ser facilmente explorada como parte de ataques de engenharia social nos quais são solicitadas informações pessoalmente identificáveis ​​ou sensíveis dos usuários. Por outro lado, um atacante pode afetar a reputação de uma marca ao ter a possibilidade de interagir com usuários/clientes que acreditam estar se comunicando através do chat oficial do Facebook da empresa.

Os donos de sites criados em WordPress que usam este plug-in devem atualizar a plataforma para a versão 1.6 que corrige o erro.

Créditos da imagem: Phil Oakley/Flickr