Um complemento muito usado para um construtor de site WordPress popular incluiu um script de proteção contra pirataria que bloqueia todas as mensagens. Os desenvolvedores estão indignados, alguns descrevendo o script como um malware, uma porta dos fundos e uma violação da lei. O editor do complemento do construtor de site intencionalmente adicionou a porta dos fundos para dificultar o funcionamento dos sites que usam versões piratas de seu complemento.
Última atualização: Desenvolvedor de plugin se retrata.
O criador do plugin, que foi acusado de deliberadamente inserir um backdoor em seu plugin, emitiu uma declaração pública de desculpas.
Ele redigiu:
“Eu adicionei um código polêmico ao plugin com o objetivo de lidar com o problema da pirataria que tenho enfrentado. No entanto, agora reconheço que essa não foi a maneira correta de abordar a situação. Minha tentativa de proteger meu trabalho acabou causando problemas e frustrações aos usuários legítimos do plugin.”
Atualização recente: Novas informações acerca do Plugin Backdoor
Um membro do grupo Dynamic WordPress Facebook, Emil Trägårdh, compartilhou os resultados de sua análise de diversas versões do plugin que lhe foram enviadas, juntamente com um vídeo correspondente no YouTube.
Emil registrou suas descobertas da seguinte maneira.
Recebi o código de algumas pessoas em 4 versões distintas.
1.5.20 (editado: também contém malware, mas mudou novamente)
Encontrei uma brecha persistente que se conecta a um servidor externo a cada três horas e executa comandos diretamente no banco de dados do WordPress.
Eu entrei em contato por e-mail com Emil Trägårdh, que forneceu informações adicionais sobre suas descobertas.
Registrou a novidade que encontrou.
Foi desenvolvido para executar qualquer instrução SQL, podendo ser utilizado para segmentar wp_posts. A instrução é determinada por uma fonte remota, o que significa que pode ser modificada a qualquer momento.
No vídeo, demonstro como utilizar “wp_users DROP TABLE” para inserir uma nova conta de administrador e executar código PHP.
Emil ressaltou que o código que ele analisou foi disponibilizado por terceiros para revisão, e que ele não o baixou pessoalmente.
Ele pôs as palavras no papel.
“Eu possuo o código fonte que analisei de indivíduos que afirmaram ter obtido o plugin de fontes de desenvolvedor autorizadas.”
Texto parafraseado: BricksUltimate Add-On para o designer de blocos de construção.
O construtor de site de tijolos é uma plataforma popular para WordPress, apreciada por desenvolvedores web devido à sua interface amigável, ao CSS baseado em classe e ao código HTML limpo de alto desempenho. O diferencial desse construtor é sua orientação para desenvolvedores com habilidades avançadas, permitindo que criem praticamente qualquer coisa sem as limitações dos construtores de arrastar e soltar tradicionais voltados para não profissionais.
Uma vantagem do construtor de site Bricks é a existência de uma comunidade de desenvolvedores de plugins externos que ampliam as capacidades do Bricks, facilitando a adição de novos recursos ao site de forma mais ágil.
BricksUltimate Addon for Bricks Builder é uma extensão desenvolvida por terceiros que simplifica a inclusão de elementos interativos on-page, tais como trilhas de navegação, menus animados, menus de acordeão, classificações de estrelas, e outras funcionalidades.
Este plugin tem causado polêmica na comunidade de desenvolvedores do WordPress ao incluir recursos de proteção contra pirataria que alguns consideram uma prática questionável, enquanto outros o classificam como “malware”.
Medidas Definitivas contra a Pirataria de Tijolos.
O motivo da polêmica parece ser um código que verifica a autenticidade de uma licença. Não há clareza quanto ao conteúdo exato do que foi instalado, porém, um programador que analisou o código do plugin identificou a presença de um script que tem a função de ocultar todos os posts do site caso detecte uma cópia ilegal do plugin.
O criador do plugin, Chinmoy Kumar Paul, minimizou a polêmica ao afirmar que as pessoas estão exagerando.
Uma conversa em andamento no grupo Dynamic WordPress Facebook sobre a iniciativa anti-pirataria BricksUltimate já conta com mais de 60 publicações, sendo a grande maioria delas contrárias ao sistema de proteção contra pirataria.
Respostas comuns nesse debate:
“Esconder um acesso secreto que permite ler as informações do banco de dados do cliente é uma quebra de confiança e evidencia a má intenção do desenvolvedor.”
Recuso-me categoricamente a apoiar ou recomendar qualquer desenvolvedor que acredite ter o direito de incluir de forma oculta uma carga maliciosa em um software. É inaceitável defender essa prática e não reconhecer seu erro quando confrontado. Fico satisfeito em ver a comunidade unida para afirmar que essa abordagem não deve ser tolerada.
O código em questão é péssimo. Eu não permitiria a presença desse tipo de vulnerabilidade em nenhum plugin em um site, especialmente se for para um cliente. Isso acaba com o plugin completamente para mim!
Este indivíduo e sua empresa poderiam ser denunciados à Autoridade Geral de Regulação de Proteção de Dados (GDPR) em qualquer país da União Europeia por inserir um código “monitor” não declarado que acessa bancos de dados de forma não autorizada e se comporta como malware. É algo surpreendente!
Um membro da comunidade Dynamic WordPress no Facebook compartilhou informações sobre as funções do script de proteção contra pirataria.
Eles apresentaram as informações que encontraram.
Meu colega e eu conduzimos uma investigação sobre o assunto. Embora não sejamos especialistas no assunto, descobrimos que o plugin contém um código criptografado que não pode ser lido por humanos sem ser decodificado.
Este código serve como uma camada extra de verificação de licença online. Se ocorrer uma falha, ele pode alterar os valores armazenados no banco de dados do WordPress, tornando as mensagens de todos os tipos de post ilegíveis. Embora não os elimine por completo inicialmente, os posts podem parecer excluídos na interface para usuários que não são especialistas.
Parece que esta funcionalidade foi introduzida nas versões 1.5.3 ou superiores do BU e, como não há nenhum comentário de usuários reais sobre isso aqui, eu confio na opinião de Chinmoy de que é altamente improvável que afete usuários legítimos.
Meu colega não sabia que tinha uma versão ilegal do plugin, pois o adquiriu de um vendedor terceirizado que o vendeu como sendo legítimo.
Resposta do desenvolvedor do BricksUltimate:
O autor do complemento, Chinmoy Kumar Paul, fez uma publicação em um grupo do Facebook chamado BricksUltimate.
Eles redigiram:
Alguns programadores estão contornando a API de licença com código personalizado. O plugin de tempo está ativo e funcionando corretamente. Meu script monitora os sites e valida a chave da licença, excluindo os dados se não corresponderem. No entanto, essa não é a solução ideal, apenas um teste que estava sendo realizado.
Na próxima vez, vou aprimorá-lo com uma abordagem diferente e realizar testes.
As pessoas estão exagerando.
Ainda estou procurando a solução mais adequada e fazendo ajustes nos códigos de acordo com o meu relatório.
Muitas pessoas não autorizadas estão enviando questões por e-mail e estou gastando tempo desnecessário com elas. Por isso, estou buscando a melhor solução para evitar essa situação.
Diversos usuários do BricksUltimate apoiaram a iniciativa do criador do plugin de enfrentar os usuários que possuem cópias ilegais do mesmo. No entanto, a cada mensagem em apoio ao desenvolvedor, havia outras que demonstravam uma desaprovação intensa.
Desenvolvedor reconsidera medida contra pirataria.
O programador pode ter observado a sala e percebido que a decisão de agir era muito impopular. Eles comunicaram que haviam mudado de ideia em relação a tomar alguma medida.
Eles não desistiram.
“Eu mencionei minha intenção de modificar a estratégia atual por uma alternativa mais eficaz. Há uma falta de compreensão do conceito, levando à disseminação de boatos.”
A presença de backdoors pode resultar em punições financeiras e prisão.
A Wordfence recentemente divulgou um artigo abordando backdoors deixados propositalmente por desenvolvedores que causam interferências ou danos em um site por parte de editores que possuem dívidas com eles.
No post com o título: Aviso: Incluir intencionalmente vulnerabilidades em seu código pode resultar em penalidades legais e prisão, eles mencionaram:
Uma das principais razões pelas quais um programador web pode ser tentado a inserir um backdoor codificado é assegurar que seu trabalho não seja utilizado sem autorização.
Paráfrase: Danificar intencionalmente um site é considerado ilegal em muitos países e pode resultar em multas ou até mesmo prisão. Nos Estados Unidos, o Computer Fraud and Abuse Act de 1986 estabelece claramente as regras para o uso ilegal de sistemas de computador. A legislação proíbe o acesso não autorizado a sistemas de computador e a manipulação intencional de dados, com penas que podem incluir prisão por até 10 anos e pesadas multas.
Combater a pirataria é uma questão válida, porém mais desafiadora na comunidade WordPress devido ao licenciamento que exige que todo conteúdo criado com WordPress seja compartilhado sob uma licença de código aberto.
Confira as explicações fornecidas pelo criador do plugin.
Uma Defesa Pública e Correção Imediata
Imagem principal fornecida por Shutterstock/malidinc.