8:49
28/12/2010

Mozilla przyznała, że dane użytkowników serwisu z dodatkami do Firefoksa addons.mozilla.org były publicznie dostępne dla każdego. W bazie znajdowały się następujące dane: e-mail, nazwisko oraz …md5 z hasła.

Baza użytkowników addons.mozilla.org wyciekła

O 3 nad ranem, jeden z naszych czytelników, Rafał nadesłał nam treść listu, jaki Mozilla rozesłała dziś do wszystkich użytkowników serwisu http://addons.mozilla.org:

Dear addons.mozilla.org user,

The purpose of this email is to notify you about a possible disclosure
of your information which occurred on December 17th. On this date, we
were informed by a 3rd party who discovered a file with individual user
records on a public portion of one of our servers. We immediately took
the file off the server and investigated all downloads. We have
identified all the downloads and with the exception of the 3rd party,
who reported this issue, the file has been download by only Mozilla
staff. This file was placed on this server by mistake and was a partial
representation of the users database from addons.mozilla.org. The file
included email addresses, first and last names, and an md5 hash
representation of your password. The reason we are disclosing this event
is because we have removed your existing password from the addons site
and are asking you to reset it by going back to the addons site and
clicking forgot password. We are also asking you to change your password
on other sites in which you use the same password. Since we have
effectively erased your password, you don’t need to do anything if you
do not want to use your account. It is disabled until you perform the
password recovery.

We have identified the process which allowed this file to be posted
publicly and have taken steps to prevent this in the future. We are also
evaluating other processes to ensure your information is safe and secure.

Should you have any questions, please feel free to contact the
infrastructure security team directly at infrasec@mozilla.com. If you
are having issues resetting your account, please contact
amo-admins@mozilla.org.

We apologize for any inconvenience this has caused.

Chris Lyon
Director of Infrastructure Security

Z listu nie wynika wprost, czy hashe generowane były z saltem, czy nie… To niedopowiedzenie pozwala przypuszczać, że jednak nie były — gdyby Mozilla “soliła” hasła, podejrzewamy, że pochwaliła by się w tego typu sprawozdaniu jakoś bardziej “wylewnie”.

addons.mozilla.org hacked

Podobnie, nie zdradzono tożsamości osoby, która oprócz pracowników Mozilli jest ponoć jedyną, która uzyskała nieautoryzowany dostęp do danych użytkowników serwisu addons.mozilla.org. Na szczęście ta jedyna osoba poinformowała fundację Mozilli o tym, co znalazła na ich serwerach. Pozostaje wierzyć, że z pozyskanymi danymi nic złego nie zrobiła… Mimo wszystko, Mozilla podjęłą słuszną decyzję o zresetowaniu haseł użytkowników i poproszeniu o ich zmianę w innych serwisach, w których użytkownicy mieli takie samo hasło.

Nie zatajać, informować

Na uwagę zasługuje również fakt, że Mozilla nie zataja wpadki, jak robią to niektórzy, i choć enigmatycznie, to mimo wszystko informuje swoich użytkowników o całym zdarzeniu. Robi to co prawda dopiero po 10 dniach, ale tyle czasu trwała analiza powłamaniowa serwera, na którym doszło do wycieku.

Aktualizacja 16:37
Na blogu Mozilli pojawiło się inne ujęcie tego incydentu (co ciekawe, również autorstwa Chrisa Lyona, a więc tej samej osoby, która wysłała wcześniej zacytowanego powyżej e-maila do użytkowników addons.mozilla.org). Dowiadujemy się z niego, że baza zawierała 44 tysiące rekordów dot. nieaktywnych kont i że obecnie Mozilla korzysta z innej funkcji skrótu SHA-512 z saltem.

Jak widać, błąd polegający na wystawieniu wrażliwych danych w publicznie dostępnej części serwisu, czyli nasze swojskie “głębokie ukrycie“, jak to pięknie określił kiedyś rzecznik PKO BP, może zdarzyć się każdemu…

Przeczytaj także:



24 komentarzy

Dodaj komentarz
  1. Patrząc na to co się dzieje, powoli zbliżamy się do 0day’a na WordPressa ;)

  2. No i zresetowane, takie samo hasło jak na addons.mozilla.org miałem jeszcze w 3 miejscach, mój błąd, przyznaję…

  3. Jeszcze brakuje tego, żeby google puścił hasła do gmaila, a wtedy wszyscy sa udupieni

  4. Mozilla po 10 dniach poinformowała użytkowników i dopiero wtedy zresetowała hasła ? Czyli na dobrą sprawę, przez te 10 dni potencjalny włamywacz miał swobodę działania i mógł wesoło hasać po wszelakich kontach i konteczkach ;] Nie nazwałbym tego odpowiedzialnym i godnym naśladowania postępowaniem. No chyba, że hasła zresetowali od razu…

  5. W TYM serwisie akurat konta nie mam, więc mnie nie boli, ale faktycznie takie wpadki mocno podważają wiarygodność organizacji.

  6. @Tomasz, też nie mam, ale od zawsze było wiadomo, że nawet “duzi” od czasu do czasu wpadają. A jak już wpadną – kawałek świata trzęsie portkami. Też czekam na rozdupcenie gmaila, aż dziw, że jeszcze do tego nie doszło.

  7. @lubie placki

    Albo gmail już wpadł, tylko po prostu się głośno o tym nie mówi ;-)

  8. Sprawa jednak trochę inaczej wygląda
    http://blog.mozilla.com/security/2010/12/27/addons-mozilla-org-disclosure/

  9. padłem ofiarą tego wycieku, mozilla skasowała mi hasło i teraz nie wiem które z moich haseł wyciekło:P Jak to sprawdzić? Hasła nie miałem zapamiętanego w przeglądarce.

  10. > Z listu nie wynika wprost, czy hashe generowane były z saltem, czy nie…

    Bo przy md5 i współczesnych komputerach to nie ma większego znaczenia.

    > The file included email addresses, first and last names, and an md5 hash
    > representation of your password.

    • skx: żartujesz, prawda? Albo nie wiesz, że salty powinny być unikalne per user…

  11. The database included 44,000 inactive accounts using older, md5-based password hashes. We erased all the md5-passwords, rendering the accounts disabled. All current addons.mozilla.org accounts use a more secure SHA-512 password hash with per-user salts.

    Wytłuszczenia moje. Jak się to ma do treści newsa?

    • hm: Tak jak mieć się powinno. Artykuł powstał na bazie wiadomości rozesłanej w e-mailu do czytelników — masz ją zacytowaną w całości w środku newsa. Masz też dodaną aktualizację, zaraz po tym jak pojawił się wpis na blogu Mozilli.

  12. Ostatnio coraz mniejsze mam zaufanie do Mozilli i jej produktow, przez przypadek odkrylem jak czytac czyjas poczte mimo zabezpieczenia profilu haslem i dodam ze nie potzrebuje zadnych programikow , backdorow i innych cudow wiankow.

  13. @Nie@smutny, chodzi o ten dodatek do Firefoxa? I o przejmowanie cookiesów? Czy jakieś bardziej wyrafinowane techniki? ;>

  14. ;) tak jak napisalem, ff bez zadnych dodatkow, czysty – standartowy, zakualizowany ff i tb.
    I bez zadnych wyrafinowanych technik i innych cudow wiankow. Po prostu logujesz sie do windowsa ( ja mam 7 profi ) 4 ruchy myszką , odpalam TB i widze cala poczte, po odpaleniu poczty nie pokazuje sie okno z zadaniem hasla, mimo ze mam zabezpieczenia haslem profilu i haslo nie jest w pamieci ;)

    Ps. Piasale do ” niebezpiecznika ” nawet 2 razy 27-11-2010 okolo 8.00 i 2010-12-13 19:17 ale niestety nie byl zainteresowany ;))

  15. 4chan up, party mode on.

  16. Zrobicie sprawdzajkę, czy hasło było w md5?

  17. @PK
    > skx: żartujesz, prawda? Albo nie wiesz, że salty
    > powinny być unikalne per user…

    Tak, tak, a połowa tej himalajskiej różowej soli w ciasteczku u usera… Do przechowywania haseł powinno się używać bcrypta albo podobnego, sprawdzonego i dedykowanego rozwiązania, a nie jakiejś partyzantki z solą i md5. Z solą czy bez, nie ma się czym chwalić.

    Ale to wszystko już zostało napisane:
    > A modern server can calculate the MD5 hash of
    > about 330MB every second. If your users have
    > passwords which are lowercase, alphanumeric,
    > and 6 characters long, you can try every single
    > possible password of that size in around 40 seconds.
    >
    > […]
    >
    > It’s important to note that salts are useless for
    > preventing dictionary attacks or brute force attacks.
    > You can use huge salts or many salts or hand-harvested,
    > shade-grown, organic Himalayan pink salt. It doesn’t
    > affect how fast an attacker can try a candidate password,
    > given the hash and the salt from your database.
    >
    > Salt or no, if you’re using a general-purpose hash
    > function designed for speed you’re well and truly effed.
    http://codahale.com/how-to-safely-store-a-password/

  18. Przy każdej wiadomości dotyczącej wycieku haseł irytują mnie dwie sprawy:
    – upatrywanie w MD5 wszelkiego zła,
    – uznanie salta za rozwiązanie wszelkich problemów,

    Pisałem na ten temat na swoim blogu (http://wampir.mroczna-zaloga.org/archives/954-cos-mocniejszego-niz-md5.html), a tu wersja skrócona – funkcje hashujące nie są projektowane po to, by były powolne i kosztowne obliczeniowo. Dlatego hasła powinny być przechowywane w nieco bardziej “zaawansowany” sposób, choćby przy pomocy wspominanego już bcrypt. Po prostu czas sprawdzenia poprawności JEDNEGO hasła musi być jak najdłuższy. Wystarczająco krótki, by nie irytować użytkownika przy logowaniu, ale na tyle długi, by atak typu brute-force był nieopłacalny. I tego warunku nie spełnia SHA512 z saltem.

  19. @Piotr: n-krotne to może być nawet md5, pod warunkiem dobrania odpowiedniej wartości n :)

  20. […] tak w komentarzu do kolejnego wycieku (patrz: Wpadka Mozilli – wyciek danych użytkowników serwisu z dodatkami do Firefoksa). Niespodzianka – MD5 nie jest źródłem wszelkiego ZŁA. A salt nie rozwiązuje wszystkich […]

  21. […] haseł (np. w serwisach internetowych) to najlepsze-jakie-może-być zabezpieczenie, (por. dyskusja w komentarzach pod jednym z poprzednich […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: