Password e Username di Firefox su un server pubblico
Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico
di Fabio Boneschi pubblicata il 29 Dicembre 2010, alle 10:48 nel canale SicurezzaFirefoxMozilla
Nelle scorse ore è stato confermato da Mozilla un problema di sicurezza relativo agli username e password di 44 mila account. Queste credenziali di sicurezza erano utilizzate per l'accesso agli add-on di Firefox e per un motivo al momento sconosciuto erano conservate su un server pubblico, accessibile da chiunque. In realtà i dati erano protetti con l'algoritmo crittografico MD5, anche se questo ostacolo viene ritenuto inefficace dagli esperti di sicurezza.
Mozilla ha informato gli utenti coinvolti in questo problema e pare che gli account siano inattivi. Inoltre, da aprile 2009 Mozilla utilizza l'algoritmo SHA-512 per la crittografia dei dati, e speriamo che conservi tali elementi su server non di accesso pubblico!
Le dichiarazioni di Chris Lyon, Director of Infrastructure Security, non rivelano il motivo per il quale l'archivio fosse conservato in un luogo così facilmente accessbile. Mozilla tende comunque a minizzare sottolineando che al momento gli utenti e gli account di addons.mozilla.org non siano in pericolo.
Purtroppo a nostro avviso quanto accaduto è molto grave e potrebbe avere ricadute anche in futuro. Infatti, molti utenti utilizzano medesime password e user name per l'accesso a differenti siti, quindi il problema avvenuto a Mozilla potrebbe avere ulteriori ricadute ben più spiacevoli.
Intervista a Stop Killing Games: distruggere videogiochi è come bruciare la musica di Mozart
Samsung Galaxy S25 Edge: il top di gamma ultrasottile e leggerissimo. La recensione 
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto
Robot umanoidi low cost? Unitree ci prova con R1 a 5.900 dollari
Non solo Rocket Lab, anche Avio potrebbe lanciare i razzi spaziali Vega dalla Virginia
Chips Act UE: 41,5 milioni di euro a Ephos per Fab-2, nuovo impianto fotonico a Milano
Ryzen Threadripper 9000 al debutto il 31 luglio: fino a 64 core e 80 linee PCIe 5.0
Nuovi coupon nascosti Amazon (aggiornamento 26 luglio 2025): migliaia ma più facili da trovare, ecco come
Chatbot e salute mentale: nascono i primi gruppi di supporto per la "psicosi da IA"
Prezzi in ribasso su Amazon su tante componenti hardware: RTX 5080 e RX 9070 XT mai viste a così poco! Tutte le migliori occasioni per i gamer
Eureka J15 Ultra spiazza la concorrenza di fascia alta: super robot da 19.000 Pa e lavaggio a 75°C a 638€ con coupon
Stufi di tagliare il prato? Questi robot in offerta lo fanno al posto vostro, con paletti di limitazione o senza: ecco cosa cambia
Anche Dyson si adegua: sconti fino a 200€, ma le scope elettriche low cost continuano a dominare il mercato
Mi sono rotto un dito, e le avventure grafiche classiche sono state la mia salvezza: le migliori, e come giocarle oggi
Tutto vero: costa solo 899€ il portatile gaming ASUS TUF con NVIDIA RTX 4060, AMD Ryzen 7 7435HS e 16GB di RAM 
Lefant M330Pro da 5.000Pa a 104€ o i due Roborock e Dreame a 199€? Oggi grandi affari sui robot per le pulizie economici (ma ottimi)
Intel tagli ancora: vuole rendere la divisione Network and Edge una società autonoma
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.
Tornando IT, direi che l'episodio è cmq grave... e quelli di mozilla dovrebbero essere persone attente alla sicurezza.... non molto a quanto pare.
[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
usi la fondazione?
Lo hanno giusto aggiornato stamani.
Un server con accesso a internet e non solo alla rete interna ?
Un server da cui si scarica la lista senza problemi ?
Un server in mezzo a una strada ?
Non capisco l'allarmismo.
è riferito [U]al solo sito degli add-on[/U], in cui alcuni account disattivati son stati resi pubblici. non a nulla a che vedere con le password salvate in firefox
e usare una master password per l'accesso alle opzioni ...
sti allarmismi, come se andassi a mettere la mia vera mail e il mio vero nome nei vari siti.
mi pare abbastanza ovvio che se vuoi andare a far la spesa col bancomat il codice o te lo tieni a mente o lo "scrivi" in maniera da esser l'unico a capire come ricomporlo, e comunque lo tieni al sicuro.
quindi perchè non fare la stessa cosa con firefox,chrome,iexplorer
ah per la cronaca ho un amico che si è salvato un file nei documenti, il file si chiama "password siti.txt"
Lo hanno giusto aggiornato stamani.
no, sono vecchi account del sito delle estensioni...non c'entra niente con password usate o salvate su firefox
comunque meglio non salvare mai le password con qualsiasi strumento, meglio tenersele a mente
Testo e-mail
Si tratta del sito degli addons di Mozilla, e questo è il testo dell'e-mail che hanno mandato agli utenti per avvertirli:The purpose of this email is to notify you about a possible disclosure of your information which occurred on December 17th. On this date, we were informed by a 3rd party who discovered a file with individual user records on a public portion of one of our servers. We immediately took the file off the server and investigated all downloads. We have identified all the downloads and with the exception of the 3rd party, who reported this issue, the file has been download by only Mozilla staff. This file was placed on this server by mistake and was a partial representation of the users database from addons.mozilla.org. The file included email addresses, first and last names, and an md5 hash representation of your password. The reason we are disclosing this event is because we have removed your existing password from the addons site and are asking you to reset it by going back to the addons site and clicking forgot password. We are also asking you to change your password on other sites in which you use the same password. Since we have effectively erased your password, you don't need to do anything if you do not want to use your account. It is disabled until you perform the password recovery.
We have identified the process which allowed this file to be posted publicly and have taken steps to prevent this in the future. We are also evaluating other processes to ensure your information is safe and secure.
Should you have any questions, please feel free to contact the infrastructure security team directly at [email]infrasec@mozilla.com[/email]. If you are having issues resetting your account, please contact [email]amo-admins@mozilla.org[/email].
We apologize for any inconvenience this has caused.
Chris Lyon
Director of Infrastructure Security
Il problema è in effetti abbastanza preoccupante: da chi sviluppa il tuo browser ci si aspetterebbe un'attenzione notevolmente superiore in materia di sicurezza.
Mi associo a chi consiglia di non memorizzare mai password usando le apposite funzioni dei browser: ci sono alcuni programmini che rendono banale l'operazione di recupero delle password salvate.
The file included email addresses, first and last names, and an md5 hash representation of your password.
--
Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.
Saluti :-D
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".