В Mozilla подтвердили, что на публичном сервере по ошибке оказалась частичная база данных с именами и хэшами паролей пользователей сайта addons.mozilla.org. Впервые это заметили в Sophos.
Эксперт по безопасности Честер Вишневски (Chester Wisniewski) написал, что в Mozilla пароли, созданные до 9 апреля 2009 года, хранились в виде MD5-хэшей, а не простого текста. Они и были скомпрометированы.
«У MD5 есть слабые места в криптографии, которые позволяют создать аналогичный хэш из нескольких цепочек, — объясняет он. — Это позволяет экспертам по безопасности вычислить все возможные хэши и определить либо ваш пароль, либо другую цепочку, которая всё равно сработает, даже если не соответствует вашему паролю».
К счастью, к этому контенту смог получить доступ только один человек, и он участвовал в конкурсе поиска уязвимостей, организованном самой Mozilla. Сразу после этого на сайте addons.mozilla.org были стёрты все 44 тыс. учётных записей, как скомпрометированных, так и нет, и затем созданы новые пароли, уже с помощью технологии SHA-512, не подверженной этой уязвимости.
По словам Вишневского, этот инцидент показывает, насколько важно уходить от устаревших хэшей MD5 и DES всем, кто ещё это не сделал.
«Они неисправны, поэтому нужно уходить от этих алгоритмов на тот случай, если ваша база данных случайно окажется вне вашей организации», — предупреждает эксперт.