大家好，我是本栏目的编辑郝帅，现在我给大家讲解一下上面的问题。WordPress的所有者Automattic已经联系了用户，并向他们保证，其官方iOS应用程序中的一个错误是将网站身份验证令牌暴露给第三方。该公司证实，它没有透露任何用户名或密码，但拒绝就有多少用户受到影响以及泄密是如何被发现的发表评论。

受影响的网站是在第三方网站上托管内容的网站，例如在Imgur上托管的图像。如果网站管理员通过iOS应用程序对其进行了更新，则可能是网站的身份验证令牌被发送到了第三方内容托管网站。

该公司在一封电子邮件中表示：“这个问题产生了向第三方网站披露安全凭证的可能性，并且只影响外部托管图像的私人网站(例如，使用Flickr等服务)，这些图像可以通过应用程序查看或写入。本周发送给用户。

没有证据表明由于泄漏而有任何恶意活动，但是通过访问认证码，攻击者可以在没有密码的情况下使用它来控制WordPress网站。这可能导致任何事情，从数据盗窃到彻底根除网站。

Synopsys的高级技术推广人员蒂姆麦基(Tim Mackey)表示：“当对具有持久连接要求的应用程序和服务进行身份验证时，访问和身份验证令牌很常见。例如，如果移动应用程序在每个应用程序启动时没有提示用户输入凭据，则很可能正在使用访问令牌。

在Automattic发给用户的电子邮件中，写着“作为预防措施，我们已断开您的应用程序与您的帐户的连接”，这意味着受影响的令牌已被重置，因此无效。

麦基说：“使用任何形式的访问令牌的用户都应该意识到，更改密码通常不会使访问令牌无效。“相反，他们需要撤销应用程序访问权限来生成新令牌。对于移动应用程序，卸载并重新安装应用程序通常也会生成一个新的令牌。”

根据codeinwp的数据，大约33%的网站使用WordPress，50-60%的CMS也基于WordPress。

2018年10月，当爱尔兰数据保护委员会(DPC)确认有300万欧盟用户从脸书黑客手中窃取访问权限时，访问令牌的主题真正进入了网络安全对话。

利用被盗的访问令牌攻击了3000万脸书用户，攻击者可以访问存储在他们个人数据中的一系列个人信息。在这些案件中，有1400万条数据被盗，包括姓名、列出的联系信息、搜索和位置数据以及其他敏感信息。