
Mozilla lekt privédata Firefox-gebruikers
Firefox-maker Mozilla heeft de gegevens van 44.000 gebruikers per ongeluk naar buiten gebracht. Voor Firefox 4 benadrukt de open source-stichting juist privacybescherming.
Firefox-maker Mozilla heeft de gegevens van 44.000 gebruikers per ongeluk naar buiten gebracht. Voor Firefox 4 benadrukt de open source-stichting juist privacybescherming.

Mozilla lekt privédata Firefox-gebruikers
Firefox-maker Mozilla heeft de gegevens van 44.000 gebruikers per ongeluk naar buiten gebracht. Voor Firefox 4 benadrukt de open source-stichting juist privacybescherming.
De gelekte gegevens zijn gebruikersaccounts voor de addons-server van Mozilla. Een deel van de database met die privégegevens is per ongeluk op een publiek toegankelijke server geplaatst. Een security-onderzoeker heeft dat eerder deze maand ontdekt en gelijk bij Mozilla gemeld, voor de premie op bugs die de stichting uitlooft.
‘Minimaal risico’
De open source-stichting meldt in de disclosure over dit lek dat het alle downloads van de data heeft getraceerd en dat het risico voor gebruikers minimaal is. Het gaat ook om oude data van accounts die niet langer actief zijn.
Alle wachtwoorden voor die accounts zijn nu door Mozilla gewist, waardoor de accounts effectief uitgeschakeld zijn. Gebruikers wiens logins zijn uitgelekt, zijn afgelopen maandag per mail hierover geïnformeerd.
Verouderde encryptie
Mozilla benadrukt nog dat huidige accounts en gebruikers geen gevaar lopen. De gelekte database met oude accountgegevens bevatte wachtwoorden die nog met md5 waren versleuteld. Die verouderde versleuteling is voor addons.mozilla.org sinds april 2009 vervangen door SHA-512 met gebruikersspecifieke codes (per-user salts).
Meh. Een MD5 hash is geen encryptie en kan dus niet 123 worden teruggerekend naar de originele string. Het ergste wat er kan gebeuren is dat er een colission gevonden kan worden waarmee ingelogd kan worden op de mozilla site, deze zal naar alle waarschijnlijkheid niet werken op andere sites, ook al zou je daar hetzelfde wachtwoord hebben (tenzij ze daar ook met ongezoutte MD5-hashes werken).
Ik begreep dat mozilla aanvullend heeft geconstateerd dat de database alleen is gedownload door de tipgever.
Dat lijkt me gelukkig.
Anders zou het ondanks het wissen van de passwords toch heel vervelend kunnen zijn omdat gebruikers potentieel dezelfde username en wachtwoorden hebben op meerdere sites.
blog mozilla
Lijkt me een fout van een beheerder en niet echt een "Bug" in de software.
Reageer
Preview