The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Подтверждена утечка пользовательской базы addons.mozilla.org

28.12.2010 13:29

Крис Лион (Chris Lyon), директор по безопасности в проекте Mozilla, подтвердил факт утечки базы пользовательских аккаунтов каталога дополнений addons.mozilla.org, включающей идентификаторы пользователей, email и хэши от паролей. Так как в БД были представлены только хэш-функции паролей, риск для пользователей addons.mozilla.org отмечен как минимальный.

Несмотря на то, что для аутентификации в проекте используются надежные SHA-512 хэши со случайным salt-ом, скомпрометированная пользовательская база содержала дополнительно около 44 тыс. аккаунтов, в которых использовались устаревшие md5-хэши. Во избежание проникновения злоумышленников, после обнаружения утечки данные аккаунты были заблокированы, а md5-хэши обнулены. Хэши SHA-512 были введены в эксплуатацию в апреле 2009 года.

В настоящее время расследуются причины утечки пользовательской базы. По заявлению Криса Лиона, инцидент связан только с утечкой архива базы и не затронул какие-либо части инфраструктуры Mozilla. Доступ к архиву пользовательской базы имели только сотрудники Mozilla, по непонятным обстоятельствам (скорее всего из-за ошибки персонала) архив был размещен на одном из публичных серверов Mozilla.

Пользователям сервиса, особенно использующим словарные пароли, рекомендуется как можно скорее осуществить смену пароля. По вопросу разблокирования старых аккаунтов следует обращаться по адресу amo-admins@mozilla.org.

  1. Главная ссылка к новости (http://blog.mozilla.com/securi...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/29143-mozilla
Ключевые слова: mozilla, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Гордый Аноним (?), 13:47, 28/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    http://www.opennet.dev/opennews/pics_base/29136_1293461014.jpg
     
  • 1.3, Atolstoy (ok), 13:47, 28/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    И ChronoPlay сломали, и в ЖЖ спамят. Традиционное рождественское хулиганство.
     
  • 1.4, Аноним (-), 13:58, 28/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Пользователи с паролем 123 счастливы :-) Я как то запустил John The Ripper у себя и нашел пару сотен пользователей с таким паролем.
     
     
  • 2.26, анонимус (??), 05:23, 29/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    > Пользователи с паролем 123 счастливы

    Пароль без разницы: "SHA-512 хэши со _случайным_ _salt-ом_"

     
     
  • 3.27, Аноним (-), 11:19, 29/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Пользователи с паролем 123 счастливы
    > Пароль без разницы: "SHA-512 хэши со _случайным_ _salt-ом_"

    Случайный salt помешает определению одинаковых паролей в базе, но никак не отразиться на процессе подбора паролей по словарю.

     

  • 1.6, тоже Аноним (ok), 14:21, 28/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +6 +/
    Благодаря этой новости я узнал, что на addons.mozilla.org можно зарегистрироваться, но так и не узнал - зачем?
     
     
  • 2.7, kapsh (ok), 14:26, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Некоторые возможности для незарегистрированных там закрыты. Скачивание экспериментальных аддонов, например.
     
     
  • 3.10, Аноним (-), 15:06, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Это в которых нашли троянов? Не, теперь точно не буду регистрироваться. Береженого бог бережет.
     
     
  • 4.29, Crazy Alex (??), 16:46, 29/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Это для которых нет 3-х отзывов пользователей, или как-то так. В общем, совсем уж экзотика или новьё, как правило, в экспериментальных сидит
     
  • 2.9, TiGR (?), 14:37, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Например, чтобы выложить расширение. Я лично там был зарегистрирован именно поэтому.
     
  • 2.13, ws (ok), 15:18, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Для меня там самая удобная фишка для зарегистрированных пользователей - создание своих колекций расширений! - Не надо каждый раз искать их, когда настраиваешь кому-то мозилу.
     
     
  • 3.19, тоже Аноним (ok), 16:57, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    А чем ФФ с коллекцией будет отличаться от Оперы? ;)
    Я, когда ставлю кому-нибудь ФФ, добавляю только AdBlock. Ну, ImgLikeOpera, если человек не на безлимите. Но чтобы коллекцию?
     
     
  • 4.25, ws (ok), 20:50, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > А чем ФФ с коллекцией будет отличаться от Оперы? ;)
    > Я, когда ставлю кому-нибудь ФФ, добавляю только AdBlock. Ну, ImgLikeOpera, если человек
    > не на безлимите. Но чтобы коллекцию?

    У каждого своя колекция, которая может не совпадать...

     

  • 1.14, Амнезинус (?), 15:18, 28/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    То есть, существует вероятность, что в каком-нибудь популярном расширении, вроде adblock, внедрен троян?
     
     
  • 2.15, Аноним (-), 15:22, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ты вообще статью читал?
     
     
  • 3.16, gegMOPO4 (ok), 15:43, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    Читал, но забыл. ;)
     
  • 3.22, Aquarius (ok), 20:05, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    >> То есть, существует вероятность, что в каком-нибудь популярном расширении, вроде adblock, внедрен троян?
    > Ты вообще статью читал?

    вообще-то, вопрос с содержимым статьи коррелирует

     

  • 1.23, filosofem (ok), 20:27, 28/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Интересно, они не подумали, что злоумышленники могли и SSL сертификат до кучи прихватить и его следует поменять чисто паранойи ради?
     
     
  • 2.24, Frank (ok), 20:43, 28/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    SSL сертификат в sql базе?! Да вы фокусник, гражданин! :)
     
     
  • 3.30, pavlinux (ok), 03:43, 30/12/2010 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > SSL сертификат в sql базе?! Да вы фокусник, гражданин! :)

    mysql_query(mysql, "CREATE TABLE cert (DATA BINARY(255))");

    char *query = malloc(1024);

    int BUFF = 1024;
    int CERT_BLOCK = 255;

    while ( cert_opened_file ) {

          memset(query, 0, BUFF);
          read(cert_opened_file, cert_block, BLOCK);
          sprintf(query, "INSERT INTO cert SET data = %s", cert_block);
          mysql_query(mysql, query);

          offset += BLOCK;
          lseek(cert_opened_file, BLOCK, SEEK_CUR);
    }
    ...

    как-тo так

     
     
  • 4.31, filosofem (ok), 11:11, 30/12/2010 [^] [^^] [^^^] [ответить]  
    		• +/
    Как-то так:

    echo "CREATE TABLE cert(data blob);LOAD DATA LOCAL INFILE '/etc/ssl/certs/cert.crt' INTO TABLE cert  FIELDS TERMINATED BY 'somecrap' LINES TERMINATED BY '' (data);"| mysql -D userdb

    Вообще я об том, что если кто-то упер базу, у него с определенной вероятностью может быть доступ куда угодно на этом сервере, поэтому заменить лучше все важные данные. Очень надеюсь, что сами аддоны на этом сервере не хостятся, иначе адблоком страшно пользоваться теперь.
    И кормить троля Franka не надо имхо.

     

  • 1.28, Filosof (ok), 13:55, 29/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    теперь ждите спама с обращением по регимени из мозиллы.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру