Password e Username di Firefox su un server pubblico

Le credenziali di accesso per addons.mozilla.org di 44 mila utenti erano protette con MD5 e archiviate su un server pubblico
di Fabio Boneschi pubblicata il 29 Dicembre 2010, alle 10:48 nel canale SicurezzaFirefoxMozilla
Nelle scorse ore è stato confermato da Mozilla un problema di sicurezza relativo agli username e password di 44 mila account. Queste credenziali di sicurezza erano utilizzate per l'accesso agli add-on di Firefox e per un motivo al momento sconosciuto erano conservate su un server pubblico, accessibile da chiunque. In realtà i dati erano protetti con l'algoritmo crittografico MD5, anche se questo ostacolo viene ritenuto inefficace dagli esperti di sicurezza.
Mozilla ha informato gli utenti coinvolti in questo problema e pare che gli account siano inattivi. Inoltre, da aprile 2009 Mozilla utilizza l'algoritmo SHA-512 per la crittografia dei dati, e speriamo che conservi tali elementi su server non di accesso pubblico!
Le dichiarazioni di Chris Lyon, Director of Infrastructure Security, non rivelano il motivo per il quale l'archivio fosse conservato in un luogo così facilmente accessbile. Mozilla tende comunque a minizzare sottolineando che al momento gli utenti e gli account di addons.mozilla.org non siano in pericolo.
Purtroppo a nostro avviso quanto accaduto è molto grave e potrebbe avere ricadute anche in futuro. Infatti, molti utenti utilizzano medesime password e user name per l'accesso a differenti siti, quindi il problema avvenuto a Mozilla potrebbe avere ulteriori ricadute ben più spiacevoli.
26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
Basta attivare la Master Password e l'amico non vede nulla e le pws sono protette.
Tornando IT, direi che l'episodio è cmq grave... e quelli di mozilla dovrebbero essere persone attente alla sicurezza.... non molto a quanto pare.
[SIZE="1"]Fortuna che non l'ho mai usato né sopportato.[/SIZE]
pgp
usi la fondazione?
Lo hanno giusto aggiornato stamani.
Un server con accesso a internet e non solo alla rete interna ?
Un server da cui si scarica la lista senza problemi ?
Un server in mezzo a una strada ?
Non capisco l'allarmismo.
è riferito [U]al solo sito degli add-on[/U], in cui alcuni account disattivati son stati resi pubblici. non a nulla a che vedere con le password salvate in firefox
e usare una master password per l'accesso alle opzioni ...
sti allarmismi, come se andassi a mettere la mia vera mail e il mio vero nome nei vari siti.
mi pare abbastanza ovvio che se vuoi andare a far la spesa col bancomat il codice o te lo tieni a mente o lo "scrivi" in maniera da esser l'unico a capire come ricomporlo, e comunque lo tieni al sicuro.
quindi perchè non fare la stessa cosa con firefox,chrome,iexplorer
ah per la cronaca ho un amico che si è salvato un file nei documenti, il file si chiama "password siti.txt"
Lo hanno giusto aggiornato stamani.
no, sono vecchi account del sito delle estensioni...non c'entra niente con password usate o salvate su firefox
comunque meglio non salvare mai le password con qualsiasi strumento, meglio tenersele a mente
Testo e-mail
Si tratta del sito degli addons di Mozilla, e questo è il testo dell'e-mail che hanno mandato agli utenti per avvertirli:The purpose of this email is to notify you about a possible disclosure of your information which occurred on December 17th. On this date, we were informed by a 3rd party who discovered a file with individual user records on a public portion of one of our servers. We immediately took the file off the server and investigated all downloads. We have identified all the downloads and with the exception of the 3rd party, who reported this issue, the file has been download by only Mozilla staff. This file was placed on this server by mistake and was a partial representation of the users database from addons.mozilla.org. The file included email addresses, first and last names, and an md5 hash representation of your password. The reason we are disclosing this event is because we have removed your existing password from the addons site and are asking you to reset it by going back to the addons site and clicking forgot password. We are also asking you to change your password on other sites in which you use the same password. Since we have effectively erased your password, you don't need to do anything if you do not want to use your account. It is disabled until you perform the password recovery.
We have identified the process which allowed this file to be posted publicly and have taken steps to prevent this in the future. We are also evaluating other processes to ensure your information is safe and secure.
Should you have any questions, please feel free to contact the infrastructure security team directly at [email]infrasec@mozilla.com[/email]. If you are having issues resetting your account, please contact [email]amo-admins@mozilla.org[/email].
We apologize for any inconvenience this has caused.
Chris Lyon
Director of Infrastructure Security
Il problema è in effetti abbastanza preoccupante: da chi sviluppa il tuo browser ci si aspetterebbe un'attenzione notevolmente superiore in materia di sicurezza.
Mi associo a chi consiglia di non memorizzare mai password usando le apposite funzioni dei browser: ci sono alcuni programmini che rendono banale l'operazione di recupero delle password salvate.
The file included email addresses, first and last names, and an md5 hash representation of your password.
--
Il fatto che da un hash non è possibile per definizione risalire al dato originale per definizione a quanto pare è ignoto alla maggioranza del grande pubblico e a svariati articolisti.
Saluti :-D
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".