Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op webwereld.nl. Dit vinden wij jammer, want webwereld.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor webwereld.nl door deze te whitelisten?
!
Welkom op webwereld.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
4 Reacties Bewaren
mozilla

Mozilla lekt privédata Firefox-gebruikers

Firefox-maker Mozilla heeft de gegevens van 44.000 gebruikers per ongeluk naar buiten gebracht. Voor Firefox 4 benadrukt de open source-stichting juist privacybescherming.

De gelekte gegevens zijn gebruikersaccounts voor de addons-server van Mozilla. Een deel van de database met die privégegevens is per ongeluk op een publiek toegankelijke server geplaatst. Een security-onderzoeker heeft dat eerder deze maand ontdekt en gelijk bij Mozilla gemeld, voor de premie op bugs die de stichting uitlooft.

‘Minimaal risico’

De open source-stichting meldt in de disclosure over dit lek dat het alle downloads van de data heeft getraceerd en dat het risico voor gebruikers minimaal is. Het gaat ook om oude data van accounts die niet langer actief zijn.

Alle wachtwoorden voor die accounts zijn nu door Mozilla gewist, waardoor de accounts effectief uitgeschakeld zijn. Gebruikers wiens logins zijn uitgelekt, zijn afgelopen maandag per mail hierover geïnformeerd.

Verouderde encryptie

Mozilla benadrukt nog dat huidige accounts en gebruikers geen gevaar lopen. De gelekte database met oude accountgegevens bevatte wachtwoorden die nog met md5 waren versleuteld. Die verouderde versleuteling is voor addons.mozilla.org sinds april 2009 vervangen door SHA-512 met gebruikersspecifieke codes (per-user salts).

ICT-vacatures

Bekijk alle ICT vacatures »

Oudste boven ▾ Reacties

    • 0 +1
      jonkiji
      jonkiji op 30 december 2010 om 09:58 Meld misbruik

      Meh. Een MD5 hash is geen encryptie en kan dus niet 123 worden teruggerekend naar de originele string. Het ergste wat er kan gebeuren is dat er een colission gevonden kan worden waarmee ingelogd kan worden op de mozilla site, deze zal naar alle waarschijnlijkheid niet werken op andere sites, ook al zou je daar hetzelfde wachtwoord hebben (tenzij ze daar ook met ongezoutte MD5-hashes werken).

      |
    • 0 +1
      Blieb
      Blieb op 29 december 2010 om 11:45 Meld misbruik

      Ik begreep dat mozilla aanvullend heeft geconstateerd dat de database alleen is gedownload door de tipgever.

      Dat lijkt me gelukkig.

      Anders zou het ondanks het wissen van de passwords toch heel vervelend kunnen zijn omdat gebruikers potentieel dezelfde username en wachtwoorden hebben op meerdere sites.

      |
    • 0 +1
      Anoniem
      Anoniem op 29 december 2010 om 11:30 Meld misbruik

      blog mozilla

      |
    • 0 +1
      thieu
      thieu op 29 december 2010 om 10:38 Meld misbruik

      Een deel van de database met die privégegevens is per ongeluk op een publiek toegankelijke server geplaatst. Een security-onderzoeker heeft dat eerder deze maand ontdekt en gelijk bij Mozilla gemeld, voor de premie op bugs die de stichting uitlooft Lijkt me een fout van een beheerder en niet echt een "Bug" in de software.

      |

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview