+7 495 229-00-22

Mozilla случайно опубликовала данные пользователей в сети

Январь 05, 2011

5.01.11 Аналитический центр InfoWatch зарегистрировал очередной инцидент утечки конфиденциальной информации. На прошлой неделе компания Mozilla, известная всему миру приложениями Firefox и Thunderbird, сообщила о том, что база данных, содержащая имена 44 000 пользователей и хэши паролей пользователей сервиса addons.mozilla.org (АМО), была случайно опубликована в сети.

По словам представителя Mozilla, данная утечка вряд ли принесет большой ущерб держателям аккаунтов на данном сервисе, так как файл, хранящий перс.данные просматривал только один человек, обнаруживший утечку. Пароли к 44000 скомпрометированным аккаунтам сервиса аннулированы вне зависимости от того активны они или нет.
Вновь созданные пароли не столь уязвимы. Дело в том, что скомпрометированные записи хэшировались еще по алгоритму MD5, но зарегистрированные вновь аккаунты, начиная с  апреля 2009 года, компания шифрует с помощью другого принципа, а именно: SHA-512 с добавлением случайных символов (salt) перед хэшированием пароля пользователя. Такой алгоритм обеспечивает гораздо лучшую защиту аутентификационных данных пользователей АМО.
Администрация сайта посоветовала всем, чья информация хранилась в скомпрометированной  БД, изменить свой пароль и на других ресурсах, в случае если пароль един для доступа на несколько сайтов. Несмотря на то, что Mozilla утверждает, что доступ к файлу получил только один пользователь, они могут ошибаться, или этот пользователь может оказаться злоумышленником. «Запомните, - призывает представитель Mozilla. - Уникальный пароль это требование, а не роскошь».
«Если вы получили уведомление от Mozilla, что ваш пароль оказался скомпрометирован, не открывайте вложенные в сообщение файлы и не переходите по предлагаемым ссылкам для обновления ваших аутентификационных записей. Это уловки мошенников», - остерегает представитель Mozilla.
Ситуацию прокомментировал главный аналитик InfoWatch Н.Федотов: «Уникальный пароль - это требование, а не роскошь» - так сказал представитель АМО.
Владелец ресурса совершает банальную ошибку - требует от пользователя уникальности и эксклюзивности пароля. Такой подход напрочь игнорирует реальность.
У каждого современного пользователя есть десятки ресурсов, с которыми надо работать. И каждый ресурс хочет, чтоб пользователь задал пароль:
(а) несловарный, (б) уникальный, (в) длинный, да ещё к тому же (г) держал его в голове. Требования, в принципе, верные. Но выполнить их для всех невозможно. Ёмкость памяти современного человека за последние сто лет не возросла ни на байт. Она составляет 3-4 хороших пароля. И на это число эксклюзивно претендуют десятки систем аутентификации. Что это, если не игнорирование реальности? Заведомо неисполнимые требования - путь к уязвимостям и утечкам».