Z Mozilly unikla data uživatelů

Z Mozilly unikl soubor se seznamem zaregistrovaných uživatelů addons.mozilla.org. Soubor se měl nacházet ve veřejné části jednoho z jejich serverů. Mozilla na to byla upozorněna třetí stranou 17. prosince letošního roku.

Mozilla soubor okamžitě z veřejné části serveru smazala a začala analyzovat, zdali došlo ke stažení souboru někým dalším. Kromě třetí strany (která na něj upozornila) a zaměstnanců Mozilly údajně nikdo jiný soubor nestáhl.

Soubor se na server dostal omylem a částečně zahrnoval některé uživatele. Měl obsahovat e-mailové adresy, jména a příjmení a md5 otisk (hash) uživatelských hesel. Chris Lyon z Mozilly uvedl, že databáze zahrnovala přibližně 44 000 neaktivních účtů, které byly chráněny pomocí staršího otisku md5. Od 9. dubna 2009 jsou všechny aktuální účty na addons.mozilla.org ošetřeny bezpečnějším SHA-512 a přidanou solí (salt).

Hashování je jednosměrný proces, kdy dojde k převedení hesla na řetězec (hash) o dané délce. U bezpečnějších hashovacích funkcí SHA-512 s přidanou solí je téměř nemožné získat původní řetězec (heslo). Jinak je tomu u dnes spíše primitivní md5, pro kterou navíc na internetu existují tzv. „rainbow tables“ s otisky hashů a původních hesel. Heslo „123456“ v md5 podobě vypadá takto: „e10adc3949ba59abbe56e057f20f883e“.

Mozilla hashe smazala a vyzývá uživatele, aby si nechali vygenerovat nové heslo. Rovněž doporučuje, aby si uživatelé změnili hesla na ostatních webových službách, pakliže byla shodná s heslem na addons.mozilla.org.

Na celém případu je potěšující, že se Mozilla nesnažila vzniklý problém „zamést pod koberec“ či mlžit. Šla s kůží na trh – veřejně přiznala chybu, popsala problém a omluvila se. Když už nic jiného, alespoň by se takovým přístupem měli inspirovat další společnosti.

Témata článku: Web, Bezpečnost, Firefox, Mozilla, MD5, Soli, Lyon, Rainbow, Salt

16 komentářů

Nejnovější komentáře

  • 1049an 30. 12. 2010 18:55:28
    Mozilla je komerční korporace a nebo zase jen nějaká open source...
  • gender.bender 29. 12. 2010 22:24:19
    Zajímá mne, kdo operuje s uživatelskými data, jenž člověk vyplní na...
  • Petr Mašek 29. 12. 2010 15:14:02
    ty redakři z zive.cz jsou fakt divný a líný to co se tu přečtu tady na...
Určitě si přečtěte

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

** Pokud už choulostivé snímky vyfotíte, dbejte na jejich zabezpečení ** Útočníci je nejčastěji získají z cloudového úložiště ** Pozor si dejte i na phishing a řádné zabezpečení telefonu

25.  3.  2017 | Stanislav Janů | 52

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

Špičkoví hackeři útočili na prohlížeče. Chrome odolal, ale Edge je tragédie

** Do Vancouveru se sjeli hackeři ** Soutěžili v útocích na prohlížeče ** Chrome odolal, ale Edge to projel na celé čáře

22.  3.  2017 | Jakub Čížek | 79


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Inteligentní domy