Mozilla zamyka sprawę wycieku haseł addons.mozilla.org

17 grudnia Mozilla została poinformowana o obecności pliku zawierającego dane części kont serwisu addons.mozilla.org na publicznych serwerach fundacji. Informacja dotarła do Mozilli za pośrednictwem programu Security Bug Bounty. Na blogu fundacji pojawił się dziś oficjalny komentarz w tej sprawie.

Udostępniona przypadkiem baza zawierała dane około 44 tysięcy nieaktywnych kont, do których hasła były zapisywane w formie skrótów generowanych algorytmem md5. Wszystkie skróty md5 haseł zostały już wcześniej usunięte z głównej bazy a odpowiednie konta wyłączone. Skróty haseł wszystkich użytkowników addons.mozilla.org są obecnie generowane z użyciem bezpieczniejszego algorytmu SHA-512 z solą tworzoną indywidualnie dla każdego konta. Zmiana algorytmu miała miejsce 9 kwietnia 2009 roku, ale konta nieużywane nie zostały zaktualizowane.

Konta aktywnych użytkowników addons.mozilla.org, które zostały zaktualizowane, nie są zagrożone. Ponadto incydent ten nie miał wpływu na działanie infrastruktury ani stron Mozilli, a każde pobranie bazy zostało wyjaśnione i zweryfikowane. Informacja o wycieku została także wysłana pocztą elektroniczną do właścicieli kont, których skróty haseł zostały opublikowane.