Olá!
Como todos, tenho acompanhado a situação do comprometimento do WHMCS e notei que ainda não foi feito nenhum alerta para a situação que, a meu ver, além do risco de roubo de cartões (da base de clientes) e outros dados sensíveis, é ainda mais sério: a exposição dos servidores cadastrados no WHMCS.
Lembrando que, o WHMCS se comunica - a principio - com TODOS os servidores que a empresa de hosting possui.
Assim, qualquer invasor no WHMCS é, por tabela, um potencial invasor de qualquer servidor cadastrado. Podendo causar danos diretamente à partir do próprio WHMCS (deletando contas, etc) ou externamente, usando as "Access Hash" dos servidores cadastrados.
Uma vez dentro do WHMCS, hipotéticamente, um invasor poderá também (além de deletar contas) enviar falsos emails em massa para a base de clientes com informações de cunho desastroso para dizer o minimo, como por exemplo, uma mensagem do tipo "prezado cliente, comunicamos que estamos encerrando nossas atividades (...)" e isso, somado a exclusão em massa de contas, coloca em segundos, uma empresa fora do mercado, afinal, até esclarecer os fatos, muitos clientes já se assustaram e tomaram outro rumo...
Enfim, acontecimentos desse tipo servem para nos lembrar de como um negócio virtual é frágil, e precisa de muita atenção e planos de contingência para várias situações, especialmente aquelas que comprometem áreas nevrálgicas do negócio, que na minha opinião são: o sistema de controle financeiro, o sistema de atendimento e o sistema de backups.
Assim, gostaria de lembrar a todos que ainda não se deram conta desse "detalhe" dos servidores que não alterem APENAS as senhas dos administradores do WHMCS, mas também as senhas de root dos servidores e as "Remote Access Key", para garantir maior segurança.
É bom também ficar atento se o seu WHMCS possui algum tipo de "integração" com outro sistema (por exemplo, com o Kayako/Fusion).
E por que também o seguro morreu de velho, não seria ruim gerar um backup completo do seu WHMCS e guardar off-line.
Para que pensa em atualizar ou instalar, eu sugiro esperar, afinal, não se sabe se os arquivos para download não foram comprometidos. Melhor aguardar essa tempestade passar e a WHMCS se manifestar a respeito, garantindo que todos os pacotes estão seguros.
Outra dica (válida para qualquer fornecedor) é: crie sempre um usuário específico para fornecer ao suporte de terceiros, assim, acabou o atendimento, esse usuário pode ter a senha trocada e/ou o seu acesso desativado até o próximo "uso" - é mais prático porque "isola" este usuário "temporário" de outros usuários de uso cotidiano.
Bem, espero ter contribuido de alguma forma.
PS: sou "sobrevivente" da tragédia do Modernbill (quando apostaram tudo na versão 5 que foi um fracasso retumbante) que, por sinal, foi a responsável por alavancar o WHMCS na época, e talvez por isso, parece inevitável não sentir uma certa incômoda sensação de "deja-vu"... que claro, espero ser apenas paranóia. Portanto, boa sorte a todos nós, usuários do WHMCS. :unsure:
Cordialmente,
Ana Paula Prado