Baza danych z hasłami logowania 44 000 użytkowników serwera dodatków Mozilli była możliwa do pobrania w niezabezpieczonej postaci
W połowie grudnia jeden z ekspertów do spraw bezpieczeństwa poinformował fundację o tym niedociągnięciu. Wczoraj zaś Mozilla skontaktowała się e-mailem ze wszystkimi poszkodowanymi, prosząc ich, by dla ostrożności wykasowali własne hasła i wyłączyli konta. Ponadto osoby korzystające z tego samego hasła na innych stronach zostały poproszone o jego zmianę.
Mozilla zapewnia, że jest w stanie prześledzić wszystkie pobrania bazy danych - według niej jedyna próba dostępu z zewnątrz nastąpiła z komputera znalazcy luki bezpieczeństwa. Co więcej, w bazie zawarte były jedynie dane nieaktywnych użytkowników; problem nie dotyczy zatem aktywnych użytkowników serwisu addons.mozilla.org.
W opisywanej bazie danych hasła użytkowników były przechowywane w formie wartości skrótu MD5. Tymczasem ta metoda szyfrowania jest przestarzała, gdyż na podstawie sum kontrolnych MD5 da się odczytać pierwotne hasło. Od kwietnia 2009 roku Mozilla przechowuje wszystkie hasła w postaci zaszyfrowanej algorytmem mieszającym SHA-512, które dodatkowo są zabezpieczone indywidualną liczbą losową (salt).
W grudniu fundacja Mozilla powołała do życia inicjatywę, w ramach której wypłaca premie znalazcom usterek bezpieczeństwa we własnych usługach.
wydanie internetowe www.heise-online.pl
