Mozilla, lo sviluppatore di popolari applicazioni open source come Firefox e Thunderbird, ha annunciato che un database contenente i nomi utente e gli hash delle password appartenenti a utenti dell'addons.mozilla.org è stato reso pubblico per caso. Se avete creato un account su addons.mozilla.org e voi siete uno dei 44.000 utenti che potrebbero essere stati colpiti da questa rivelazione accidentale, dovreste aver ricevuto una email di notifica da parte del team di sicurezza di Mozilla.
Mozilla ha memorizzato le password prima del 9 Aprile 2009 come hash MD5 (Message Digest algorithm 5). Mentre l'algoritmo MD5 può essere utilizzato per memorizzare le password in modo sicuro, non è chiaro come l'MD5 sia stato utilizzato dall'infrastruttura di Mozilla.
Mozilla ha controllato i propri registri e ha stabilito che l'unica persona al di fuori di Mozilla che ha avuto accesso al contenuto è stata la persona che ha rivelato la pubblicazione accidentale attraverso il programma web che permette ai volontari di segnalare bug relativi alla sicurezza. I funzionari della sicurezza di Mozilla sono stati informati della esposizione il 17 dicembre. La Fondazione ha inviato una notifica dell'esposizione via e-mail a tutti i titolari di account il 27 dicembre scorso.
Mozilla ha cancellato i via precauzionale le password di tutti i 44.000 account che sono stati memorizzati in formato MD5 dal sito addons indipendentemente dal fatto che siano stati esposti o meno. Le password appena create non saranno vulnerabili da una simile rivelazione, infatti, dal 9 aprile 2009 Mozilla ha utilizzato la crittografia SHA-512 per memorizzare gli hash delle password di ogni utente, perchè considerata più sicura.
Via: Naked Security
Nessun commento:
Posta un commento