Password e Username di Firefox su un server pubblico
Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico
di Fabio Boneschi pubblicata il 29 Dicembre 2010, alle 10:48 nel canale SicurezzaFirefoxMozilla
Nelle scorse ore è stato confermato da Mozilla un problema di sicurezza relativo agli username e password di 44 mila account. Queste credenziali di sicurezza erano utilizzate per l'accesso agli add-on di Firefox e per un motivo al momento sconosciuto erano conservate su un server pubblico, accessibile da chiunque. In realtà i dati erano protetti con l'algoritmo crittografico MD5, anche se questo ostacolo viene ritenuto inefficace dagli esperti di sicurezza.
Mozilla ha informato gli utenti coinvolti in questo problema e pare che gli account siano inattivi. Inoltre, da aprile 2009 Mozilla utilizza l'algoritmo SHA-512 per la crittografia dei dati, e speriamo che conservi tali elementi su server non di accesso pubblico!
Le dichiarazioni di Chris Lyon, Director of Infrastructure Security, non rivelano il motivo per il quale l'archivio fosse conservato in un luogo così facilmente accessbile. Mozilla tende comunque a minizzare sottolineando che al momento gli utenti e gli account di addons.mozilla.org non siano in pericolo.
Purtroppo a nostro avviso quanto accaduto è molto grave e potrebbe avere ricadute anche in futuro. Infatti, molti utenti utilizzano medesime password e user name per l'accesso a differenti siti, quindi il problema avvenuto a Mozilla potrebbe avere ulteriori ricadute ben più spiacevoli.
ASUS ROG Swift PG27UQ: 4K, HDR e G-Sync tutto in un monitor
Sony A7 III, piena maturità per la Full Frame 
JVC AE 'truly wireless': auricolari Bluetooth per lo sport che possono essere aperti o chiusi
Torna Resident Evil 2, ricreato completamente da zero
Porsche accelera lo sviluppo di vetture elettriche grazie alla partnership con Rimac
Sennheiser presenta BT T100: il Bluetooth arriva nel salotto di casa
Brian Krzanich non è più CEO di Intel: 'relazione consensuale' con dipendente
Assetto Corsa Competizione: demo giocabile a Misano il 22 e 23 luglio
WhatsApp continua a lavorare sugli stickers ma sono in arrivo anche le ''reazioni''
Cuffie (gaming e non), auricolari e microSD in offerta a prezzi molto convenienti su TomTop
CS:GO e Dota 2: loot boxes illegali in Olanda, e disabilitate
Google può prevedere la morte di un paziente, con il 95% di precisione
Arrivano i Gruppi Facebook a pagamento, fino a 29,99$ mensili per partecipare
The Guild 3: THQ Nordic aumenta le risorse di sviluppo
Fujifilm sviluppa Phi, tecnologia che promette di rivoluzionare gli altoparlanti
PUBG: risarcimenti per i giocatori bannati per sbaglio
Microsoft News annunciato ufficialmente su Windows 10, iOS e Android: come funziona
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.
Tornando IT, direi che l'episodio è cmq grave... e quelli di mozilla dovrebbero essere persone attente alla sicurezza.... non molto a quanto pare.
[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
usi la fondazione?
Lo hanno giusto aggiornato stamani.
Un server con accesso a internet e non solo alla rete interna ?
Un server da cui si scarica la lista senza problemi ?
Un server in mezzo a una strada ?
Non capisco l'allarmismo.
è riferito [U]al solo sito degli add-on[/U], in cui alcuni account disattivati son stati resi pubblici. non a nulla a che vedere con le password salvate in firefox
e usare una master password per l'accesso alle opzioni ...
sti allarmismi, come se andassi a mettere la mia vera mail e il mio vero nome nei vari siti.
mi pare abbastanza ovvio che se vuoi andare a far la spesa col bancomat il codice o te lo tieni a mente o lo "scrivi" in maniera da esser l'unico a capire come ricomporlo, e comunque lo tieni al sicuro.
quindi perchè non fare la stessa cosa con firefox,chrome,iexplorer
ah per la cronaca ho un amico che si è salvato un file nei documenti, il file si chiama "password siti.txt"
Lo hanno giusto aggiornato stamani.
no, sono vecchi account del sito delle estensioni...non c'entra niente con password usate o salvate su firefox
comunque meglio non salvare mai le password con qualsiasi strumento, meglio tenersele a mente
Testo e-mail
Si tratta del sito degli addons di Mozilla, e questo è il testo dell'e-mail che hanno mandato agli utenti per avvertirli:The purpose of this email is to notify you about a possible disclosure of your information which occurred on December 17th. On this date, we were informed by a 3rd party who discovered a file with individual user records on a public portion of one of our servers. We immediately took the file off the server and investigated all downloads. We have identified all the downloads and with the exception of the 3rd party, who reported this issue, the file has been download by only Mozilla staff. This file was placed on this server by mistake and was a partial representation of the users database from addons.mozilla.org. The file included email addresses, first and last names, and an md5 hash representation of your password. The reason we are disclosing this event is because we have removed your existing password from the addons site and are asking you to reset it by going back to the addons site and clicking forgot password. We are also asking you to change your password on other sites in which you use the same password. Since we have effectively erased your password, you don't need to do anything if you do not want to use your account. It is disabled until you perform the password recovery.
We have identified the process which allowed this file to be posted publicly and have taken steps to prevent this in the future. We are also evaluating other processes to ensure your information is safe and secure.
Should you have any questions, please feel free to contact the infrastructure security team directly at [email]infrasec@mozilla.com[/email]. If you are having issues resetting your account, please contact [email]amo-admins@mozilla.org[/email].
We apologize for any inconvenience this has caused.
Chris Lyon
Director of Infrastructure Security
Il problema è in effetti abbastanza preoccupante: da chi sviluppa il tuo browser ci si aspetterebbe un'attenzione notevolmente superiore in materia di sicurezza.
Mi associo a chi consiglia di non memorizzare mai password usando le apposite funzioni dei browser: ci sono alcuni programmini che rendono banale l'operazione di recupero delle password salvate.
The file included email addresses, first and last names, and an md5 hash representation of your password.
--
Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.
Saluti :-D
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".