Крис Лион, директор по безопасности в проекте Mozilla, подтвердил факт утечки
базы пользовательских аккаунтов каталога дополнений addons.mozilla.org,
включающей идентификаторы пользователей, email и хэши от паролей. Так как в БД
были представлены только хэш-функции паролей, риск для пользователей
addons.mozilla.org отмечен как минимальный.
Несмотря на то, что для аутентификации в проекте используются надежные
SHA-512 хэши со случайным salt-ом, скомпрометированная пользовательская база
содержала дополнительно около 44 тыс. аккаунтов, в которых использовались
устаревшие md5-хэши. Во избежание проникновения злоумышленников, после
обнаружения утечки данные аккаунты были заблокированы, а md5-хэши обнулены. Хэши
SHA-512 были введены в эксплуатацию в апреле 2009 года.
В настоящее время расследуются причины утечки пользовательской базы. По
заявлению Криса Лиона, инцидент связан только с утечкой архива базы и не
затронул какие-либо части инфраструктуры Mozilla. Доступ к архиву
пользовательской базы имели только сотрудники Mozilla, по непонятным
обстоятельствам (скорее всего из-за ошибки персонала) архив был размещен на
одном из публичных серверов Mozilla.
Пользователям сервиса, особенно использующим словарные пароли, рекомендуется
как можно скорее осуществить смену пароля. По вопросу разблокирования старых
аккаунтов следует обращаться по адресу amo-admins@mozilla.org.
