c.m.g
01-09-2014, 15:13
venerdì 29 agosto 2014
Per la seconda volta in un mese ci sono email e password su un server pubblico. La Foundation si scusa, promette policy migliori e avvisa tutti gli utenti coinvolti
Roma - È successo di nuovo: email e password (cifrate (http://news.softpedia.com/news/97-000-Bugzilla-Testers-Affected-by-Accidental-Data-Leak-456830.shtml)) di 97mila utenti di uno dei server del progetto Bugzilla, ospitato da Mozilla, sono finite in una directory pubblica e potenzialmente a disposizione di chiunque per tre mesi. Si è trattato di un incidente (http://blog.mozilla.org/security/2014/08/27/update-on-reviewing-our-data-practices-and-bugzilla-development-database-disclosure/), la segnalazione del problema è giunta grazie alla scoperta di quanto accaduto da parte di uno sviluppatore, e la reazione dei tecnici è stata immediata. Ora si tratterà solo di avvisare tutti e di cambiare un bel po' di password.
Il server interessato è quello che fa riferimento alla url landfill.bugzilla.org: nel corso di una migrazione prevista dal piano di riorganizzazione, voluto (http://www.nextgov.com/cybersecurity/threatwatch/2014/08/breach/1451/) dalla Foundation proprio per meglio gestire le informazioni a lei affidate nell'ambito dei progetti interni e di quelli esterni ospitati sui suoi server, la copia del database contenente i dati di accesso degli utenti è stato piazzato nel posto sbagliato. L'incidente sarebbe avvenuto il 4 maggio scorso, dunque per 3 mesi circa (http://www.scmagazine.com/data-on-97k-bugzilla-users-posted-online-for-about-three-months/article/368686/) i dati sono restati in un punto potenzialmente accessibile da chiunque.
La situazione non è tragica, a detta di Mozilla: nel blog post (http://bugzillaupdate.wordpress.com/2014/08/27/landfill-bugzilla-org-disclosure/) a cui è stata affidata la disclosure dell'incidente viene spiegato che gli utenti di quel server sono generalmente consapevoli del fatto che quello offerto su landfill.bugzilla.org è un servizio sperimentale e pertanto la password da loro impiegata non dovrebbe essere uguale a quella utilizzata altrove. In ogni caso, per evitare problemi, tutti coloro interessati dalla potenziale fuga di dati sono stati contattati per invitarli a prendere provvedimenti, e le password utilizzate su Landfill tutte azzerate. Già a inizio agosto (http://www.networkworld.com/article/2600081/security/mozilla-reports-user-data-leak-from-bugzilla-project.html) Mozilla aveva informato il pubblico di un avvenimento analogo (http://punto-informatico.it/4112056/PI/News/mozilla-dati-degli-sviluppatori-rischio.aspx) avvenuto sui propri server, anche se in quel caso le utenze compromesse erano state solo 76.000.
Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/4131049/PI/News/mozilla-annuncia-una-fuga-dati-nuovo.aspx)
Per la seconda volta in un mese ci sono email e password su un server pubblico. La Foundation si scusa, promette policy migliori e avvisa tutti gli utenti coinvolti
Roma - È successo di nuovo: email e password (cifrate (http://news.softpedia.com/news/97-000-Bugzilla-Testers-Affected-by-Accidental-Data-Leak-456830.shtml)) di 97mila utenti di uno dei server del progetto Bugzilla, ospitato da Mozilla, sono finite in una directory pubblica e potenzialmente a disposizione di chiunque per tre mesi. Si è trattato di un incidente (http://blog.mozilla.org/security/2014/08/27/update-on-reviewing-our-data-practices-and-bugzilla-development-database-disclosure/), la segnalazione del problema è giunta grazie alla scoperta di quanto accaduto da parte di uno sviluppatore, e la reazione dei tecnici è stata immediata. Ora si tratterà solo di avvisare tutti e di cambiare un bel po' di password.
Il server interessato è quello che fa riferimento alla url landfill.bugzilla.org: nel corso di una migrazione prevista dal piano di riorganizzazione, voluto (http://www.nextgov.com/cybersecurity/threatwatch/2014/08/breach/1451/) dalla Foundation proprio per meglio gestire le informazioni a lei affidate nell'ambito dei progetti interni e di quelli esterni ospitati sui suoi server, la copia del database contenente i dati di accesso degli utenti è stato piazzato nel posto sbagliato. L'incidente sarebbe avvenuto il 4 maggio scorso, dunque per 3 mesi circa (http://www.scmagazine.com/data-on-97k-bugzilla-users-posted-online-for-about-three-months/article/368686/) i dati sono restati in un punto potenzialmente accessibile da chiunque.
La situazione non è tragica, a detta di Mozilla: nel blog post (http://bugzillaupdate.wordpress.com/2014/08/27/landfill-bugzilla-org-disclosure/) a cui è stata affidata la disclosure dell'incidente viene spiegato che gli utenti di quel server sono generalmente consapevoli del fatto che quello offerto su landfill.bugzilla.org è un servizio sperimentale e pertanto la password da loro impiegata non dovrebbe essere uguale a quella utilizzata altrove. In ogni caso, per evitare problemi, tutti coloro interessati dalla potenziale fuga di dati sono stati contattati per invitarli a prendere provvedimenti, e le password utilizzate su Landfill tutte azzerate. Già a inizio agosto (http://www.networkworld.com/article/2600081/security/mozilla-reports-user-data-leak-from-bugzilla-project.html) Mozilla aveva informato il pubblico di un avvenimento analogo (http://punto-informatico.it/4112056/PI/News/mozilla-dati-degli-sviluppatori-rischio.aspx) avvenuto sui propri server, anche se in quel caso le utenze compromesse erano state solo 76.000.
Luca Annunziata
Fonte: Punto Informatico (http://punto-informatico.it/4131049/PI/News/mozilla-annuncia-una-fuga-dati-nuovo.aspx)