Хакер #305. Многошаговые SQL-инъекции
Почтовые адреса и хэшированные пароли тысяч разработчиков Mozilla оказались в открытом доступе из-за сбоя в базе данных. Организация Mozilla просит прощения у всех пострадавших и выражает надежду, что злоумышленники всё-таки не заметили выложенную базу.
Примерно 76 000 почтовых адресов и 4000 парольных хэшей находились на публичном сервере с 26 июня 2014 года в течение примерно 30 дней. Mozilla утверждает, что нет никаких признаков того, что доступ к данным получили посторонние лица. Тем не менее, такая возможность не исключена. Если злоумышленник сумеет расшифровать парольный хэш, то получит доступ к аккаунту пользователя в Mozilla Developer Network.
Глюк с публикацией в открытом доступе случился во время выполнения процедуры по обработке учётных данных (sanitization). «Наша компания известна своей приверженностью приватности и безопасности и мы приносим глубочайшие извинения за любые неудобства, которые этот инцидент мог причинить вам», — говорят Сторми Питерс (Stormy Peters), директор по связям с разработчиками, и Джо Стивенсен (Joe Stevensen), менеджер по безопасности Mozilla. Они также подчеркнули, что все пароли хэшировались с использованием соли, а сами хэши прямо сейчас уже нельзя использовать для аутентификации на сервере Mozilla Developer Network.
Всем пострадавшим пользователям отправлены сообщения по электронной почте.