Полезная информация

Общайтесь со знакомыми и друзьями в нашей группе в Контакте.

№129-12-2010 08:24:42

George Yves
Help you I can
 
Группа: Extensions
Откуда: Полоцк, Беларусь
Зарегистрирован: 22-05-2008
Сообщений: 1886
UA: Firefox 3.6

Опять "человеческий фактор"

скрытый текст
Подтверждена утечка пользовательской базы addons.mozilla.org

Крис Лион (Chris Lyon), директор по безопасности в проекте Mozilla, подтвердил факт утечки базы пользовательских аккаунтов каталога дополнений addons.mozilla.org, включающей идентификаторы пользователей, email и хэши от паролей. Так как в БД были представлены только хэш-функции паролей, риск для пользователей addons.mozilla.org отмечен как минимальный.

Несмотря на то, что для аутентификации в проекте используются надежные SHA-512 хэши со случайным salt-ом, скомпрометированная пользовательская база содержала дополнительно около 44 тыс. аккаунтов, в которых использовались устаревшие md5-хэши. Во избежание проникновения злоумышленников, после обнаружения утечки данные аккаунты были заблокированы, а md5-хэши обнулены. Хэши SHA-512 были введены в эксплуатацию в апреле 2009 года.

В настоящее время расследуются причины утечки пользовательской базы. По заявлению Криса Лиона, инцидент связан только с утечкой архива базы и не затронул какие-либо части инфраструктуры Mozilla. Доступ к архиву пользовательской базы имели только сотрудники Mozilla, по непонятным обстоятельствам (скорее всего из-за ошибки персонала) архив был размещен на одном из публичных серверов Mozilla.

Пользователям сервиса, особенно использующим словарные пароли, рекомендуется как можно скорее осуществить смену пароля. По вопросу разблокирования старых аккаунтов следует обращаться по адресу amo-admins@mozilla.org.

Отредактировано George Yves (29-12-2010 08:26:25)


May the FOSS be with you!

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]