Hlavní navigace

Mozille uniklo přes 90 tisíc e-mailů a hesel uživatelů testujících BugZillu

Daniel Dočekal

Plné tři měsíce se mohl prakticky kdokoliv dostat k údajům o registrovaných uživatelích BugZilly, pomůcky na hlášení a řešení chyb.

Někdy zhruba od 4. května se v rámci migrace testovacích serverů Bugzilly bylo možné dostat ke kompletním obsahům databází obsahujících e-mailové adresy a šifrovaná hesla zhruba 97 tisíc uživatelů testovacích sestavení Bugzilly. Vývojáři na problém přišli až po třech měsících, předmětné soubory odstranili a proces vedoucí k jejich zveřejňování opravili.

Není známo, zda někdo data získal ani zda je nějak použil či použije. Stejně tak není známo, zda hesla byla šifrována a saltována a nakolik je tedy reálné, aby se k nim někdo skutečně dostal. Ke škodě věci trochu je, že Mozilla incident zlehčuje s tím, že „vývojáři používající testovací sestavení si jsou vědomi jejich nebezpečného charakteru a nepoužívají v nich hesla, která využívají i jinde.

V Landfill.bugzilla.org Disclosure se dočtete, že Mozilla provedla reset všech hesel na testovacích serverech Bugzilly. A v komentáři také to, že Bugzilla 3.4 by měla používat SHA-256 + salt. Což by mohlo znamenat alespoň mírně lepší výsledek, než kdyby hesla byla dostupná volně. Mailů se šifrování pochopitelně netýká. 

Našli jste v článku chybu?