Mozilla, utgiveren av blant annet Firefox, ble den 17. desember i år gjort klar over at deler av brukerdatabasen for addons.mozilla.org ved en feil var blitt liggende på en offentlig tilgjengelig Mozilla-server. Databasen inneholdt 44 000 brukerkontoer.
Riktignok var det kun snakk om sovende kontoer, men det var bare brukt MD5-baserte hasher for å skjule passordene. MD5 har en del svakheter som gjør at den ikke lenger anbefales til slik bruk. I teorien kunne en med tilgang til databasen finne passord til brukere som benytter det samme passordet et annet sted.
Mozillas direktør for infrastruktursikkerhet, Chris Lyon, skriver i et blogginnlegg at stiftelsen har oversikt over alle nedlastinger av databasen og at risikoen for brukerne må anses for å være minimal.
Alle de berørte kontoene har blitt deaktivert ved at passord-hashene har blitt slettet.
Siden den 9. april har passordene til alle aktive brukere blitt lagret ved å benytte den sikrere SHA-512-hashen med et salt for hver bruker.
Alle berørte brukere skal tidligere denne uken ha blitt tilsendt informasjon om tilfellet.
