Η Mozilla επιβεβαίωσε ότι κατά λάθος δημοσίευσε τη βάση δεδομένων που περιέχει τα ονόματα χρηστών και τους κρυπτογραφημένους κωδικούς πρόσβασης που ανήκουν σε χρήστες του addons.mozilla.org.
Όπως επισημαίνει ο εμπειρογνώμονας Τσέστερ Wisniewski της εταιρείας Sophos, η Mozilla είχε θέσει σε κίνδυνο τους κωδικούς πρόσβασης πριν από τις 9 Απρίλη του 2009, γιατί τους αποθήκευε ως MD5, και όχι ως απλό κείμενο.
Το MD5 έχει κρυπτογραφικές αδυναμίες. Αυτό, σύμφωνα με εμπειρογνώμονες ασφάλειας, επιτρέπει τον υπολογισμό όλων των δυνατών κρυπτογραφήσεων και καθορίζει είτε τον κωδικό πρόσβασής σας ή άλλη σειρά που θα λειτουργήσει ακόμη και αν δεν έχει τον κωδικό πρόσβασής σας.
Ευτυχώς, μόνο ένα άτομο - ο οποίος έχει συμμετοχή στο πρόγραμμα της ιστοσελίδας της Mozilla - κατάφερε να έχει πρόσβαση στο ευαίσθητο περιεχόμενο.
Όπως ήταν αναμενόμενο, ο οργανισμός διέγραψε γρήγορα τους κωδικούς πρόσβασης και των 44.000 λογαριασμών από το site addons, ανεξάρτητα από το αν έχουν εκτεθεί ή όχι. Η Mozilla επίσης κινήθηκε γρήγορα για να διαβεβαιώσει τους επισκέπτες ότι οι νέοι κωδικοί πρόσβασης θα παραμείνουν άτρωτοι σε μια παρόμοια περίσταση.
Σύμφωνα με τον Wisniewski, θα πρέπει τα ξεπερασμένα μοντέλα MD5 να αντικατασταθούν άμεσα.
Εάν ακόμα αποθηκεύετε κωδικούς πρόσβασης με τη χρήση μεθόδων όπως η Gawker (DES) ή Mozilla (MD5), σας ενημερώνουμε ότι δεν είστε ασφαλείς.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου