Mozilla a confirmat faptul ca a publicat accidental o baza de date partiala care continea username-urile si parolele utilizatorilor sectiunii add-on-uri. Potrivit celor de la Mozilla, baza de date includea 44 000 de conturi vechi, care erau stocate printr-un algoritm de tip MD5.

Conform expertului in securitate Chester Wisniewski, de la compania Sophos, MD5 manifesta o vulnerabilitate criptografica, care permite crearea aceluiasi hash din corzi multiple.

Reprezentantii companiei au declarat ca un singur individ - care facea parte din programul de recompense al companiei - a reusit sa acceseze baza de date.
Organizatia a reactionat prompt, stregand toate cele 44 000 de conturi de pe site-ul de add-on-uri, indiferent daca acestea au fost sau nu expuse.

Mozilla i-a asigurat de asemenea pe vizitatorii add-on ca parolele create raman invulnerabile, intrucat, spre deosebire de cele 44 000 de conturi expuse, folosesc SHA-512 cu salturi per-user pentru a stoca hash-uri. Wisniewski avertizeaza ca metodele de stocare a parolelor de genul MD5 prezinta vulnerabilitati, si este important sa migram cat mai departe de acesti algoritmi, in cazul in care bazele de date scapa accidental in afara organizatiei.


Articol original: www.hit.ro