Password e Username di Firefox su un server pubblico
Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico
di Fabio Boneschi pubblicata il 29 Dicembre 2010, alle 10:48 nel canale SicurezzaFirefoxMozilla
Nelle scorse ore è stato confermato da Mozilla un problema di sicurezza relativo agli username e password di 44 mila account. Queste credenziali di sicurezza erano utilizzate per l'accesso agli add-on di Firefox e per un motivo al momento sconosciuto erano conservate su un server pubblico, accessibile da chiunque. In realtà i dati erano protetti con l'algoritmo crittografico MD5, anche se questo ostacolo viene ritenuto inefficace dagli esperti di sicurezza.
Mozilla ha informato gli utenti coinvolti in questo problema e pare che gli account siano inattivi. Inoltre, da aprile 2009 Mozilla utilizza l'algoritmo SHA-512 per la crittografia dei dati, e speriamo che conservi tali elementi su server non di accesso pubblico!
Le dichiarazioni di Chris Lyon, Director of Infrastructure Security, non rivelano il motivo per il quale l'archivio fosse conservato in un luogo così facilmente accessbile. Mozilla tende comunque a minizzare sottolineando che al momento gli utenti e gli account di addons.mozilla.org non siano in pericolo.
Purtroppo a nostro avviso quanto accaduto è molto grave e potrebbe avere ricadute anche in futuro. Infatti, molti utenti utilizzano medesime password e user name per l'accesso a differenti siti, quindi il problema avvenuto a Mozilla potrebbe avere ulteriori ricadute ben più spiacevoli.
Intervista a Stop Killing Games: distruggere videogiochi è come bruciare la musica di Mozart
Samsung Galaxy S25 Edge: il top di gamma ultrasottile e leggerissimo. La recensione 
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
Le 18 offerte Amazon del weekend, senza rivali (le prime 7 sono eccezionali): servono 2 minuti e lo capite da soli 
Galaxy S25 Ultra 512GB sotto i 1.000€ su Amazon: è tra gli smartphone più completi e richiesti dell'anno
Vi piace l'iPhone nero? Su Amazon sono scontati di 210€ il 16 e di 90€ il 16e, occhio a AirPods e Airtag
MacBook Air M4 16GB/256GB e 16GB/512GB scontati di 250€ e 300€, perché spendere di più? Diversi colori, risparmio top
4 portatili per risparmiare tanto ed essere soddisfatti: dal tuttofare a quello gaming con RTX 4060, da 419€ a 899€
San Marino multa TikTok: non controllano l'età dei minori
Dreame e Roborock in saldo su Amazon: robot con 12.000 Pa, mop riscaldati e svuotamento automatico a prezzi da svendita
Pazzesco su Amazon: crollano i prezzi dei Galaxy Watch! Dal Watch8 al Watch4, ecco quale conviene davvero comprare oggi
La Corea del Sud vorrebbe costruire una base lunare entro il 2045
Rilasciati i primi risultati delle analisi sulla cometa interstellare 3I/ATLAS
Robot umanoidi low cost? Unitree ci prova con R1 a 5.900 dollari
Non solo Rocket Lab, anche Avio potrebbe lanciare i razzi spaziali Vega dalla Virginia
Chips Act UE: 41,5 milioni di euro a Ephos per Fab-2, nuovo impianto fotonico a Milano
Ryzen Threadripper 9000 al debutto il 31 luglio: fino a 64 core e 80 linee PCIe 5.0
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.
Tornando IT, direi che l'episodio è cmq grave... e quelli di mozilla dovrebbero essere persone attente alla sicurezza.... non molto a quanto pare.
[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
usi la fondazione?
Lo hanno giusto aggiornato stamani.
Un server con accesso a internet e non solo alla rete interna ?
Un server da cui si scarica la lista senza problemi ?
Un server in mezzo a una strada ?
Non capisco l'allarmismo.
è riferito [U]al solo sito degli add-on[/U], in cui alcuni account disattivati son stati resi pubblici. non a nulla a che vedere con le password salvate in firefox
e usare una master password per l'accesso alle opzioni ...
sti allarmismi, come se andassi a mettere la mia vera mail e il mio vero nome nei vari siti.
mi pare abbastanza ovvio che se vuoi andare a far la spesa col bancomat il codice o te lo tieni a mente o lo "scrivi" in maniera da esser l'unico a capire come ricomporlo, e comunque lo tieni al sicuro.
quindi perchè non fare la stessa cosa con firefox,chrome,iexplorer
ah per la cronaca ho un amico che si è salvato un file nei documenti, il file si chiama "password siti.txt"
Lo hanno giusto aggiornato stamani.
no, sono vecchi account del sito delle estensioni...non c'entra niente con password usate o salvate su firefox
comunque meglio non salvare mai le password con qualsiasi strumento, meglio tenersele a mente
Testo e-mail
Si tratta del sito degli addons di Mozilla, e questo è il testo dell'e-mail che hanno mandato agli utenti per avvertirli:The purpose of this email is to notify you about a possible disclosure of your information which occurred on December 17th. On this date, we were informed by a 3rd party who discovered a file with individual user records on a public portion of one of our servers. We immediately took the file off the server and investigated all downloads. We have identified all the downloads and with the exception of the 3rd party, who reported this issue, the file has been download by only Mozilla staff. This file was placed on this server by mistake and was a partial representation of the users database from addons.mozilla.org. The file included email addresses, first and last names, and an md5 hash representation of your password. The reason we are disclosing this event is because we have removed your existing password from the addons site and are asking you to reset it by going back to the addons site and clicking forgot password. We are also asking you to change your password on other sites in which you use the same password. Since we have effectively erased your password, you don't need to do anything if you do not want to use your account. It is disabled until you perform the password recovery.
We have identified the process which allowed this file to be posted publicly and have taken steps to prevent this in the future. We are also evaluating other processes to ensure your information is safe and secure.
Should you have any questions, please feel free to contact the infrastructure security team directly at [email]infrasec@mozilla.com[/email]. If you are having issues resetting your account, please contact [email]amo-admins@mozilla.org[/email].
We apologize for any inconvenience this has caused.
Chris Lyon
Director of Infrastructure Security
Il problema è in effetti abbastanza preoccupante: da chi sviluppa il tuo browser ci si aspetterebbe un'attenzione notevolmente superiore in materia di sicurezza.
Mi associo a chi consiglia di non memorizzare mai password usando le apposite funzioni dei browser: ci sono alcuni programmini che rendono banale l'operazione di recupero delle password salvate.
The file included email addresses, first and last names, and an md5 hash representation of your password.
--
Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.
Saluti :-D
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".