Mozilla heeft de gegevens van ruim 44.000 gebruikers op een verkeerde server geplaatst, de server waar de database op stond is een publieke server. Het gaat om de gegevens van 44.000 gebruikers van addons.mozilla.org. Een beveilingsonderzoeker heeft dit op 17 december ontdekt en ook meteen gemeld aan Mozilla.
Mozilla heeft direct actie ondernomen en de database is inmiddels verwijderd van de publieke server, ook zou Mozilla de downloads nagekeken hebben, waaruit is gebleken dat er geen sprake is van grote risico’s voor de gebruikers. In de database was informatie opgeslagen van 44.000 inactieve accounts die nog werden beveiligd met een oudere md5 wachtwoord beveiliging. Mozilla heeft de wachtwoorden verwijderd en deze accounts zijn dus niet meer bereikbaar, de andere gebruikers van addons.mozzila.org maken al sinds april 2009 gebruik van SHA-512 wachtwoorden, aldus Mozilla.
De onderzoeker had de fout van Mozilla gemeld via het web bounty program van Mozilla, eerder kondigde Mozilla aan een beloning uit te keren aan diegene die kwetsbaarheden vinden in de software van de ontwikkelaar. Mozilla betaalt een bedrag tussen de 500 en 3000 dollar uit bij het vinden van kwetsbaarheden.
3 uur geleden
