Mais de um milhão de páginas que utilizam WordPress correm o risco de serem hackeadas como conseqüência de uma vulnerabilidade crítica presente à maior parte das versões do WP Slimstat, um plugin que oferece informação detalhada sobre as visitas que um site recebe.

A falha de segurança deixa a porta aberta para que ocorram ataques por injeção SQL nos quais um hacker pode conseguir informação confidencial do banco de dados, como por exemplo nomes de usuários, senhas e inclusive as senhas secretas do WordPress que lhe permitiriam ficar com o controle total do site.

Todas as versões do WP Slimstat, a exceção da versão 3.9.6, que foi publicada na semana passada, estão afetadas por este bug. Segundo as estatísticas oficiais do WordPress, este plugin foi baixado mais de 1.300.000 vezes, o que dá uma ideia da quantidade de sites que poderiam estar em sério perigo. Sobra dizer que quem utilizar uma versão antiga desta aplicação deve atualizá-la o quanto antes.

Tudo começou com um e-mail aparentemente inocente que chegou as contas de diversos empregados bancários. Ao clicar no link anexo em ditos e-mails um grupo de hackers obtinha acesso às redes internas dos bancos. Uma vez dentro localizavam as contas daqueles empregados que tinham acesso às transferências de dinheiro e caixas eletrônicos. Segundo notícias, o montante total roubado seria algo ao redor de 1 bilhão de dólares.

Mais de 100 bancos em 30 países foram afetados por este roubo eletrônico em massa, entre estas instituições bancárias da Rússia, Suíça, Japão, Holanda e Estados Unidos. Basicamente os hackers imitaram os padrões de transações dos bancos para que nada parecesse suspeito e simplesmente fossem percebidas como parte da atividade cotidiana.