O plug-in oficial do Chat do Facebook para WordPress é um complemento para donos de sites que permite aos usuários se comunicarem facilmente através da rede social sem a necessidade de acessar a página oficial do Facebook ou abrir o Messenger da rede social. Além disso, oferece funcionalidades adicionais, como a possibilidade de configurar respostas automáticas e respostas para perguntas frequentes (FAQ) através da disponibilização de informações úteis para os usuários. Esse plug-in, que conta com mais de 80.000 usuários ativos, foi atualizado há dois dias para a versão 1.6, já que pesquisadores descobriram em junho deste ano que a versão anterior (1.5) apresentava uma falha de segurança que permite a qualquer atacante interceptar mensagens enviadas pelos usuários ao trocar a conta do Facebook associada ao plug-in por uma controlada pelo atacante.
A falha está na incapacidade de verificar se uma solicitação é proveniente de um administrador autenticado, "permitindo que qualquer usuário autenticado, incluindo contas no nível de assinante, envie uma solicitação para atualizar as opções e substituir a conta do Facebook associada", explica o site Wordfence. Dessa forma, um atacante pode associar sua própria conta do Facebook Messenger atualizando o ID da página em qualquer site. Para que isso ocorra, o usuário só precisa se registrar no site e acessar o painel wp-admin. A equipe do Wordfence acrescenta como um lembrete que "por padrão, todas as contas de usuário podem acessar a área wp-admin de um site criado no WordPress". Depois que a conta do Facebook Messenger do atacante é associada ao plug-in, o atacante recebe qualquer mensagem enviada pelo Facebook Messenger e o dono do site e da conta do Facebook deixam de receber mensagens.
Os pesquisadores que descobriram a falha destacam que uma vulnerabilidade como essa pode ser facilmente explorada como parte de ataques de engenharia social nos quais são solicitadas informações pessoalmente identificáveis ou sensíveis dos usuários. Por outro lado, um atacante pode afetar a reputação de uma marca ao ter a possibilidade de interagir com usuários/clientes que acreditam estar se comunicando através do chat oficial do Facebook da empresa.
Os donos de sites criados em WordPress que usam este plug-in devem atualizar a plataforma para a versão 1.6 que corrige o erro.
Créditos da imagem: Phil Oakley/Flickr