Mozilla случайно обнародовала личные данные пользователей

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 29 дек 2010.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Крис Лион, директор по безопасности в проекте Mozilla, подтвердил факт утечки базы пользовательских аккаунтов каталога дополнений addons.mozilla.org, включающей идентификаторы пользователей, email и хэши от паролей. Так как в БД были представлены только хэш-функции паролей, риск для пользователей addons.mozilla.org отмечен как минимальный.

    Несмотря на то, что для аутентификации в проекте используются надежные SHA-512 хэши со случайным salt-ом, скомпрометированная пользовательская база содержала дополнительно около 44 тыс. аккаунтов, в которых использовались устаревшие md5-хэши. Во избежание проникновения злоумышленников, после обнаружения утечки данные аккаунты были заблокированы, а md5-хэши обнулены. Хэши SHA-512 были введены в эксплуатацию в апреле 2009 года.

    В настоящее время расследуются причины утечки пользовательской базы. По заявлению Криса Лиона, инцидент связан только с утечкой архива базы и не затронул какие-либо части инфраструктуры Mozilla. Доступ к архиву пользовательской базы имели только сотрудники Mozilla, по непонятным обстоятельствам (скорее всего из-за ошибки персонала) архив был размещен на одном из публичных серверов Mozilla.

    Пользователям сервиса, особенно использующим словарные пароли, рекомендуется как можно скорее осуществить смену пароля. По вопросу разблокирования старых аккаунтов следует обращаться по адресу amo-admins@mozilla.org.



    источник
     
    2 пользователям это понравилось.

Поделиться этой страницей