Password e Username di Firefox su un server pubblico

Password e Username di Firefox su un server pubblico

Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico

di pubblicata il , alle 10:48 nel canale Sicurezza
FirefoxMozilla
 

Nelle scorse ore è stato confermato da Mozilla un problema di sicurezza relativo agli username e password di 44 mila account. Queste credenziali di sicurezza erano utilizzate per l'accesso agli add-on di Firefox e per un motivo al momento sconosciuto erano conservate su un server pubblico, accessibile da chiunque. In realtà i dati erano protetti con l'algoritmo crittografico MD5, anche se questo ostacolo viene ritenuto inefficace dagli esperti di sicurezza.

Mozilla ha informato gli utenti coinvolti in questo problema e pare che gli account siano inattivi. Inoltre, da aprile 2009 Mozilla utilizza l'algoritmo SHA-512 per la crittografia dei dati, e speriamo che conservi tali elementi su server non di accesso pubblico!

Le dichiarazioni di Chris Lyon, Director of Infrastructure Security, non rivelano il motivo per il quale l'archivio fosse conservato in un luogo così facilmente accessbile. Mozilla tende comunque a minizzare sottolineando che al momento gli utenti e gli account di addons.mozilla.org non siano in pericolo.

Purtroppo a nostro avviso quanto accaduto è molto grave e potrebbe avere ricadute anche in futuro. Infatti, molti utenti utilizzano medesime password e user name per l'accesso a differenti siti, quindi il problema avvenuto a Mozilla potrebbe avere ulteriori ricadute ben più spiacevoli.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pgp29 Dicembre 2010, 10:51 #1
Che dire... Complimenti a Mozilla
[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]


pgp
PaPuAsja29 Dicembre 2010, 11:03 #2
Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.
MesserWolf29 Dicembre 2010, 11:08 #3
Originariamente inviato da: PaPuAsja
Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.


Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.

Tornando IT, direi che l'episodio è cmq grave... e quelli di mozilla dovrebbero essere persone attente alla sicurezza.... non molto a quanto pare.
TheZioFede29 Dicembre 2010, 11:12 #4
Originariamente inviato da: pgp
Che dire... Complimenti a Mozilla
[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]


pgp


usi la fondazione?
RoMZERO29 Dicembre 2010, 11:12 #5
Immagino si riferisca al Firefox Sync questo articolo vero?

Lo hanno giusto aggiornato stamani.
sirhaplo29 Dicembre 2010, 11:14 #6
Cosa intendono con "Su un server pubblico" ?

Un server con accesso a internet e non solo alla rete interna ?
Un server da cui si scarica la lista senza problemi ?
Un server in mezzo a una strada ?

Non capisco l'allarmismo.
huema29 Dicembre 2010, 11:17 #7
Originariamente inviato da: PaPuAsja
Il problema piu' grave e' il fatto che tramite il semplice tasto MOSTRA PASSWORD un utente/amico che ha accesso 5 minuti al tuo firefox puo' vederti tutte le password, salvate, in chiaro!!! Ovviamente chi non salva le proprie password su firefox o chi disattiva l'opzione tramite modifiche ad alcuni file di firefox non corre il rischio, ma di sicuro stiamo parlando di alte percentuali di persone che le salvano, così come di n alto numero che non conosce come effettuare questa modifica.


è riferito [U]al solo sito degli add-on[/U], in cui alcuni account disattivati son stati resi pubblici. non a nulla a che vedere con le password salvate in firefox

e usare una master password per l'accesso alle opzioni ...

sti allarmismi, come se andassi a mettere la mia vera mail e il mio vero nome nei vari siti.
mi pare abbastanza ovvio che se vuoi andare a far la spesa col bancomat il codice o te lo tieni a mente o lo "scrivi" in maniera da esser l'unico a capire come ricomporlo, e comunque lo tieni al sicuro.
quindi perchè non fare la stessa cosa con firefox,chrome,iexplorer

ah per la cronaca ho un amico che si è salvato un file nei documenti, il file si chiama "password siti.txt" direi che così è molto più sicuro (ironico) che mostrare degli account disattivati o accedere alle opzioni di firefox
TheZioFede29 Dicembre 2010, 11:22 #8
Originariamente inviato da: RoMZERO
Immagino si riferisca al Firefox Sync questo articolo vero?

Lo hanno giusto aggiornato stamani.


no, sono vecchi account del sito delle estensioni...non c'entra niente con password usate o salvate su firefox

comunque meglio non salvare mai le password con qualsiasi strumento, meglio tenersele a mente
giovannifg29 Dicembre 2010, 11:42 #9

Testo e-mail

Si tratta del sito degli addons di Mozilla, e questo è il testo dell'e-mail che hanno mandato agli utenti per avvertirli:

Dear addons.mozilla.org user,

The purpose of this email is to notify you about a possible disclosure of your information which occurred on December 17th. On this date, we were informed by a 3rd party who discovered a file with individual user records on a public portion of one of our servers. We immediately took the file off the server and investigated all downloads. We have identified all the downloads and with the exception of the 3rd party, who reported this issue, the file has been download by only Mozilla staff. This file was placed on this server by mistake and was a partial representation of the users database from addons.mozilla.org. The file included email addresses, first and last names, and an md5 hash representation of your password. The reason we are disclosing this event is because we have removed your existing password from the addons site and are asking you to reset it by going back to the addons site and clicking forgot password. We are also asking you to change your password on other sites in which you use the same password. Since we have effectively erased your password, you don't need to do anything if you do not want to use your account. It is disabled until you perform the password recovery.

We have identified the process which allowed this file to be posted publicly and have taken steps to prevent this in the future. We are also evaluating other processes to ensure your information is safe and secure.

Should you have any questions, please feel free to contact the infrastructure security team directly at [email]infrasec@mozilla.com[/email]. If you are having issues resetting your account, please contact [email]amo-admins@mozilla.org[/email].

We apologize for any inconvenience this has caused.

Chris Lyon
Director of Infrastructure Security


Il problema è in effetti abbastanza preoccupante: da chi sviluppa il tuo browser ci si aspetterebbe un'attenzione notevolmente superiore in materia di sicurezza.
Mi associo a chi consiglia di non memorizzare mai password usando le apposite funzioni dei browser: ci sono alcuni programmini che rendono banale l'operazione di recupero delle password salvate.
Alex83FE29 Dicembre 2010, 12:23 #10
--
The file included email addresses, first and last names, and an md5 hash representation of your password.
--

Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.

Saluti :-D

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^