Mozilla lekket 44 000 «passord»

Eldre brukerdatabase lagt ut offentlig.

Mozilla, utgiveren av blant annet Firefox, ble den 17. desember i år gjort klar over at deler av brukerdatabasen for addons.mozilla.org ved en feil var blitt liggende på en offentlig tilgjengelig Mozilla-server. Databasen inneholdt 44 000 brukerkontoer.

Riktignok var det kun snakk om sovende kontoer, men det var bare brukt MD5-baserte hasher for å skjule passordene. MD5 har en del svakheter som gjør at den ikke lenger anbefales til slik bruk. I teorien kunne en med tilgang til databasen finne passord til brukere som benytter det samme passordet et annet sted.

Mozillas direktør for infrastruktursikkerhet, Chris Lyon, skriver i et blogginnlegg at stiftelsen har oversikt over alle nedlastinger av databasen og at risikoen for brukerne må anses for å være minimal.

Alle de berørte kontoene har blitt deaktivert ved at passord-hashene har blitt slettet.

Siden den 9. april har passordene til alle aktive brukere blitt lagret ved å benytte den sikrere SHA-512-hashen med et salt for hver bruker.

Alle berørte brukere skal tidligere denne uken ha blitt tilsendt informasjon om tilfellet.

Til toppen