La società che gestisce la piattaforma di blogging WordPress.com ha comunicato che alcuni hacker hanno ottenuto l’accesso root al server e sono usciti con il codice appartenente a WordPress  e ai suoi partner.

La consulenza dalla Automattic è l’ultima per i dettagli di una violazione su una società incaricata di mantenere le informazioni dei clienti privati. La società, che serve circa 18 milioni di case editrici, ha detto che i dipendenti devono ancora determinare esattamente quali dati sono stati rubati, ma la valutazione iniziale è molto importante.

Il fondatore dell’azienda, Matt Mullenweg, ha scritto: “Automattic aveva un basso livello di  break-in su parecchi dei nostri server, e, potenzialmente, qualsiasi cosa su quei server potrebbe essere stato rubato “. “Riteniamo che il nostro codice sorgente sia stato visto e copiato. Mentre gran parte del nostro codice è open source, ci sono pezzi delicati di codice nostro e  del nostro partner. Oltre a ciò, tuttavia, le informazioni pubblicate sono state limitate “.

Nella sezione dei commenti al suo post, Mullenweg ha detto non ci sono prove che le password sono stati rubate”, e anche se fosse sarebbero difficili da decifrare.” Egli consiglia agli utenti di modificare le proprie password in ogni caso, soprattutto se sono utilizzate in due o più posti. Le password di WordPress sono molto dure da decfrare.

Mullenweg non ha detto come gli hacker siano riusciti a entrare nel server appartenente  alla sua azienda, ma ha detto che ha “adottato misure globali per evitare che un incidente come questo si verifichi di nuovo.”

Automattic unisce società tra cui RSA Security, Epsilon, nota alle cronache di hacking, e Comodo rivenditore di certificati SSL. Finora, c’è poca evidenza pubblica su chi sia  responsabile per l’attacco.

Con circa il 12 per cento dei siti web in esecuzione WordPress è la piattaforma  più al centro di obiettivi di attacco. Nel 2009, un worm spam-friendly ha attaccato le vecchie installazioni del programma, tra cui quello di tech blogger Robert Scoble, che ha perso due mesi di blog danno. Era la seconda volta che il suo software di blogging era stato attaccato.

Più recentemente, WordPress.com finì sotto un massiccio attacco denial-of-service che rese impossibile per molti dei suoi utenti di pubblicare i loro contenuti.

Il codice sorgente salvato su server Automattic include codici di API e password di Twitter e Facebook, che possono essere usate per accedere a informazioni sensibili.