Z Mozilly unikl soubor se seznamem zaregistrovaných uživatelů addons.mozilla.org. Soubor se měl nacházet ve veřejné části jednoho z jejich serverů. Mozilla na to byla upozorněna třetí stranou 17. prosince letošního roku.
Mozilla soubor okamžitě z veřejné části serveru smazala a začala analyzovat, zdali došlo ke stažení souboru někým dalším. Kromě třetí strany (která na něj upozornila) a zaměstnanců Mozilly údajně nikdo jiný soubor nestáhl.
Soubor se na server dostal omylem a částečně zahrnoval některé uživatele. Měl obsahovat e-mailové adresy, jména a příjmení a md5 otisk (hash) uživatelských hesel. Chris Lyon z Mozilly uvedl, že databáze zahrnovala přibližně 44 000 neaktivních účtů, které byly chráněny pomocí staršího otisku md5. Od 9. dubna 2009 jsou všechny aktuální účty na addons.mozilla.org ošetřeny bezpečnějším SHA-512 a přidanou solí (salt).
Hashování je jednosměrný proces, kdy dojde k převedení hesla na řetězec (hash) o dané délce. U bezpečnějších hashovacích funkcí SHA-512 s přidanou solí je téměř nemožné získat původní řetězec (heslo). Jinak je tomu u dnes spíše primitivní md5, pro kterou navíc na internetu existují tzv. „rainbow tables“ s otisky hashů a původních hesel. Heslo „123456“ v md5 podobě vypadá takto: „e10adc3949ba59abbe56e057f20f883e“.
Mozilla hashe smazala a vyzývá uživatele, aby si nechali vygenerovat nové heslo. Rovněž doporučuje, aby si uživatelé změnili hesla na ostatních webových službách, pakliže byla shodná s heslem na addons.mozilla.org.
Na celém případu je potěšující, že se Mozilla nesnažila vzniklý problém „zamést pod koberec“ či mlžit. Šla s kůží na trh – veřejně přiznala chybu, popsala problém a omluvila se. Když už nic jiného, alespoň by se takovým přístupem měli inspirovat další společnosti.
