Przejdź na

Bugzilla to kopalnia wiedzy także dla hakerów – wyciekły dane o błędach w Firefoksie

Na blogu Bugzilli pojawiła się informacja o wprowadzeniu dodatkowych zabezpieczeń polegających na wymaganiu od części użytkowników dwustopniowej weryfikacji. Niestety, nowa metoda logowania się nie jest przejawem prewencji, a raczej próbą zapobiegania eskalacji już powstałego problemu. Wszystko wskazuje bowiem na to, że od 2013 roku Bugzilla była wykorzystywana przez hakerów do zbierania informacji o podatności oprogramowania na ataki.

Obraz
Maciej Olanicki

Jak wiadomo, Bugzilla od lat jest powszechnie stosowanym narzędziem pozwalającym na zgłaszanie błędów w oprogramowaniu, także tych, które stanowią o podatności na atak. Jest między innymi wykorzystywana w przypadku Firefoksa, jądra Linuksa, linuksowych środowisk graficznych czy pakietu biurowego LibreOffice. Z komunikatu opublikowanego przez szefa zespołu ds. bezpieczeństwa w Mozilli, Richarda Barnesa, wynika, że hakerzy znaleźli dla Bugzilli inne zastosowanie – jako źródło informacji o sposobach ataku na użytkowników Firefoksa.

Obraz

Za taki stan rzeczy trudno jednak obwiniać wyłącznie Mozillę. Sama platforma zgłaszania błędów nie była bowiem podatna na włamania, a dostęp do niej był możliwy dzięki atakom na inne serwisy. Z nich uzyskano dane logowania uprzywilejowanych użytkowników, którzy mieli dostęp do informacji o exploitach zero-day. Hakerzy logowali się do ich kont na Bugzilli po prostu korzystając z tego samego hasła. Wyciekłe dane obejmowały 185 błędów, z których. 53 dotyczyły dziur, które zostały oznaczone jako wysokiego priorytetu lub krytyczne. Zostały one załatane w aktualizacji Firefoksa z 27 sierpnia tego roku.

Nie zostały opublikowane informacje o ewentualnych szkodach, jakich przeciętni użytkownicy doświadczyli w związku z przejęciem kont uprzywilejowanych użytkowników Bugzilli. Ci z kolei zostali poproszeni o natychmiastową zmianę haseł, wymagana w przypadku ich kont będzie także wspomniana dwuetapowa weryfikacja. Mozilla zapowiada także, że posiada informacje, które pozwalają na zaangażowanie w sprawę organów ścigania.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
Wyciek danych klientów polskich sklepów. 130 tys. pokrzywdzonych
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
mBank zmienia wymagania aplikacji. Niektórzy muszą wymienić telefon
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Awaria w Pekao S.A. Problem z bankowością (aktualizacja)
Zakazy social mediów dla nastolatków. Eksperci widzą problem
Zakazy social mediów dla nastolatków. Eksperci widzą problem
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀