Z Mozilly unikla data uživatelů

Z Mozilly unikla data uživatelů

Z Mozilly unikl soubor se seznamem zaregistrovaných uživatelů addons.mozilla.org. Soubor se měl nacházet ve veřejné části jednoho z jejich serverů. Mozilla na to byla upozorněna třetí stranou 17. prosince letošního roku.

Mozilla soubor okamžitě z veřejné části serveru smazala a začala analyzovat, zdali došlo ke stažení souboru někým dalším. Kromě třetí strany (která na něj upozornila) a zaměstnanců Mozilly údajně nikdo jiný soubor nestáhl.

Soubor se na server dostal omylem a částečně zahrnoval některé uživatele. Měl obsahovat e-mailové adresy, jména a příjmení a md5 otisk (hash) uživatelských hesel. Chris Lyon z Mozilly uvedl, že databáze zahrnovala přibližně 44 000 neaktivních účtů, které byly chráněny pomocí staršího otisku md5. Od 9. dubna 2009 jsou všechny aktuální účty na addons.mozilla.org ošetřeny bezpečnějším SHA-512 a přidanou solí (salt).

Hashování je jednosměrný proces, kdy dojde k převedení hesla na řetězec (hash) o dané délce. U bezpečnějších hashovacích funkcí SHA-512 s přidanou solí je téměř nemožné získat původní řetězec (heslo). Jinak je tomu u dnes spíše primitivní md5, pro kterou navíc na internetu existují tzv. „rainbow tables“ s otisky hashů a původních hesel. Heslo „123456“ v md5 podobě vypadá takto: „e10adc3949ba59abbe56e057f20f883e“.

Mozilla hashe smazala a vyzývá uživatele, aby si nechali vygenerovat nové heslo. Rovněž doporučuje, aby si uživatelé změnili hesla na ostatních webových službách, pakliže byla shodná s heslem na addons.mozilla.org.

Na celém případu je potěšující, že se Mozilla nesnažila vzniklý problém „zamést pod koberec“ či mlžit. Šla s kůží na trh – veřejně přiznala chybu, popsala problém a omluvila se. Když už nic jiného, alespoň by se takovým přístupem měli inspirovat další společnosti.

Témata článku: Web, Bezpečnost, Firefox, Mozilla, MD5, Soli, Lyon, Rainbow, Salt

16 komentářů

Nejnovější komentáře

  • 1049an 30. 12. 2010 18:55:28
    Mozilla je komerční korporace a nebo zase jen nějaká open source...
  • gender.bender 29. 12. 2010 22:24:19
    Zajímá mne, kdo operuje s uživatelskými data, jenž člověk vyplní na...
  • Petr Mašek 29. 12. 2010 15:14:02
    ty redakři z zive.cz jsou fakt divný a líný to co se tu přečtu tady na...
Určitě si přečtěte

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

** Stáhnete si film a titulky třeba z OpenSubtitles.org ** A osud vás za ten warez záhy potrestá ** Specialisté totiž ukázali, že i v titulcích může být schovaný virus

24.  5.  2017 | Jakub Čížek | 57

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

** WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows ** Ta mu umožnila, aby se pokusil sám napadnout další počítače ** Jenže ta chyba už je dva měsíce opravená!

22.  5.  2017 | Jakub Čížek | 96


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky