de iThemes case

Er zijn zo van die dagen dat je bij jezelf denkt : knijp me in de arm want dit geloof ik niet.

Het is “good practice” om paswoorden geëncrypteerd op te slaan in een database. Dus in plaats van gebruiker “z@xxxx.be” en paswoord “123abcd” sla je bijvoorbeeld md5 geëncrypteerde gegevens op. Dat zou dan zoiets worden als gebruiker “20eadb62da5e087787a3deeb088afbf1” en paswoord “9c98df872d24244696c393a1d26ab749”.

Bedrijven die niet dergelijk encrypties doen, lopen een verhoogd risico dat, eenmaal een hacker toegang heeft tot de database, de gegevens gewoon kunnen inlezen en gebruiken of misbruiken voor verschillende doeleinden. Nog erger wordt het als kredietkaartgegevens zomaar opgeslagen worden. En er zijn het laatste jaar veel voorvallen geweest : remember Icloud en sommige Hollywoord sterren.

Maar wat als … je vergeet te encrypteren en je bent gespecialiseerd in beveiliging van websites of in dit geval van wordpress websites. Dan wordt het pas echt kafkaiaans. Dat is nochtans exact wat Ithemes en hun Ithemes security Pro overkwam.  En dan moet je communiceren naar de markt en je klanten.

Dit is wat ze zeiden hierover : “There is no easy way to say this: We were storing your passwords in clear-text. This directly impacted approximately 60,000 of our users, past and current.”

WordPress › iThemes Security  formerly Better WP Security  « WordPress PluginsEen knap staaltje van directe communicatie. En het meest bizarre is dat het aantal downloads na deze toch wel enigszins catastrofale communicatie, niet is in mekaar gestuikt. Integendeel.

Voor de liefhebbers, hierbij de link naar het Ithemes pers-communiqué.