Datenpanne bei Mozilla

SicherheitSicherheitsmanagement

Eine veraltete Passwort-Datenbank für Mozillas Erweiterungsgalerie war für kurze Zeit über die öffentlichen Mozilla-Server als Download verfügbar.  Die Datenbank enthielt Passwörter für über 44.000 Accounts, die mit unsicheren MD5-Hashes verschlüsselt wurden.

Laut Mozilla  besteht allerdings keine Gefahr für die Nutzer von addons.mozilla.org. Die kompromittierten Daten betreffen lediglich Accounts, die sich zuletzt vor dem 9. April 2009 eingeloggt haben. Ab diesem Datum wurde die Passwortverschlüsselung auf das als sicher geltende SHA-512 umgestellt. Zudem wurden laut Mozilla alle betroffenen Anwender per E-Mail informiert.

Der Fehler wurde Mozilla von einem Sicherheitsexperten über das »Bug Bounty«-Programm gemeldet. In einer öffentlichen Stellungnahme äußert sich Mozilla zur Sicherheitslücke und erklärt, dass die Sicherheitslücke keine ernsthafte Gefahr für die Anwender darstellt. Nichtsdestotrotz stellt sich die Frage, warum eine Passwortdatenbank auf einem offenen Server liegt.