c.m.g
08-09-2015, 13:09
lunedì 7 settembre 2015
La fondazione ammette di aver subito un accesso indiscriminato e potenzialmente malevolo alle informazioni segrete sui bug di Firefox, accesso che è poi servito almeno in caso, ad agosto. Ora è tutto risolto
Roma - Allarme sicurezza su Bugzilla (https://bugzilla.mozilla.org/), la piattaforma aperta su cui Mozilla tiene traccia dei bug di Firefox e degli altri progetti software gestiti dalla fondazione: ignoti malintenzionati avrebbero avuto accesso a informazioni riservate per un anno, mettendo a rischio gli utenti del browser del Panda Rosso in almeno un caso.
Stando a quanto comunica la FAQ messa online (https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2015/09/BugzillaFAQ.pdf) da Mozilla, l'ignoto cyber-criminale ha sfruttato un account con accesso privilegiato al database di Bugzilla, un account che ha in sostanza potuto leggere informazioni "segrete" su bug e vulnerabilità di sicurezza che i programmatori erano impegnati a chiudere prima di renderne pubblica l'esistenza.
L'accesso non autorizzato, prevedibilmente frutto di una password debole o di un attacco (riuscito) di ingegneria sociale, è apparentemente cominciato dal settembre del 2013 ed è continuato almeno fino a settembre 2014, quando l'account compromesso è stato abbattuto e sono cominciate le indagini da parte del team di sicurezza di Mozilla.Centinaia (anzi 185) i bug "segreti" visionati dai presunti criminali (http://www.theregister.co.uk/2015/09/04/mozilla_firefox_bugzilla_leak/), 53 dei quali classificati come gravi: di questi ultimi, 10 risultavano ancora non corretti durante l'accesso non autorizzato. È noto almeno un caso, dice ancora Mozilla, di un bug sfruttato per condurre un attacco informatico "in the wild" che è stato poi debellato con la distribuzione della versione 39.0.3 di Firefox (http://punto-informatico.it/4263262/PI/News/firefox-exploit-patch.aspx).
Non è la prima volta che Bugzilla si trova al centro dell'attenzione per le insicurezze della piattaforma (http://punto-informatico.it/4131049/PI/News/mozilla-annuncia-una-fuga-dati-nuovo.aspx), e nel tentativo di rafforzare le difese contro gli accessi non autorizzati Mozilla ha implementato nuove policy (https://blog.mozilla.org/security/2015/09/04/improving-security-for-bugzilla/), incluso l'obbligo di adoperare un meccanismo a doppio fattore per l'autenticazione sui server.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4268692/PI/News/mozilla-era-un-buco-bugzilla.aspx)
La fondazione ammette di aver subito un accesso indiscriminato e potenzialmente malevolo alle informazioni segrete sui bug di Firefox, accesso che è poi servito almeno in caso, ad agosto. Ora è tutto risolto
Roma - Allarme sicurezza su Bugzilla (https://bugzilla.mozilla.org/), la piattaforma aperta su cui Mozilla tiene traccia dei bug di Firefox e degli altri progetti software gestiti dalla fondazione: ignoti malintenzionati avrebbero avuto accesso a informazioni riservate per un anno, mettendo a rischio gli utenti del browser del Panda Rosso in almeno un caso.
Stando a quanto comunica la FAQ messa online (https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2015/09/BugzillaFAQ.pdf) da Mozilla, l'ignoto cyber-criminale ha sfruttato un account con accesso privilegiato al database di Bugzilla, un account che ha in sostanza potuto leggere informazioni "segrete" su bug e vulnerabilità di sicurezza che i programmatori erano impegnati a chiudere prima di renderne pubblica l'esistenza.
L'accesso non autorizzato, prevedibilmente frutto di una password debole o di un attacco (riuscito) di ingegneria sociale, è apparentemente cominciato dal settembre del 2013 ed è continuato almeno fino a settembre 2014, quando l'account compromesso è stato abbattuto e sono cominciate le indagini da parte del team di sicurezza di Mozilla.Centinaia (anzi 185) i bug "segreti" visionati dai presunti criminali (http://www.theregister.co.uk/2015/09/04/mozilla_firefox_bugzilla_leak/), 53 dei quali classificati come gravi: di questi ultimi, 10 risultavano ancora non corretti durante l'accesso non autorizzato. È noto almeno un caso, dice ancora Mozilla, di un bug sfruttato per condurre un attacco informatico "in the wild" che è stato poi debellato con la distribuzione della versione 39.0.3 di Firefox (http://punto-informatico.it/4263262/PI/News/firefox-exploit-patch.aspx).
Non è la prima volta che Bugzilla si trova al centro dell'attenzione per le insicurezze della piattaforma (http://punto-informatico.it/4131049/PI/News/mozilla-annuncia-una-fuga-dati-nuovo.aspx), e nel tentativo di rafforzare le difese contro gli accessi non autorizzati Mozilla ha implementato nuove policy (https://blog.mozilla.org/security/2015/09/04/improving-security-for-bugzilla/), incluso l'obbligo di adoperare un meccanismo a doppio fattore per l'autenticazione sui server.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/4268692/PI/News/mozilla-era-un-buco-bugzilla.aspx)