29/12/2010 21:27 | Антон Чивчалов

Mozilla случайно выложила имена и пароли пользователей в открытый доступ

Темы: Mozilla, passwords, security, MD5, ,

В Mozilla подтвердили, что на публичном сервере по ошибке оказалась частичная база данных с именами и хэшами паролей пользователей сайта addons.mozilla.org. Впервые это заметили в Sophos.

Эксперт по безопасности Честер Вишневски (Chester Wisniewski) написал, что в Mozilla пароли, созданные до 9 апреля 2009 года, хранились в виде MD5-хэшей, а не простого текста. Они и были скомпрометированы.

«У MD5 есть слабые места в криптографии, которые позволяют создать аналогичный хэш из нескольких цепочек, — объясняет он. — Это позволяет экспертам по безопасности вычислить все возможные хэши и определить либо ваш пароль, либо другую цепочку, которая всё равно сработает, даже если не соответствует вашему паролю».

К счастью, к этому контенту смог получить доступ только один человек, и он участвовал в конкурсе поиска уязвимостей, организованном самой Mozilla. Сразу после этого на сайте addons.mozilla.org были стёрты все 44 тыс. учётных записей, как скомпрометированных, так и нет, и затем созданы новые пароли, уже с помощью технологии SHA-512, не подверженной этой уязвимости.

По словам Вишневского, этот инцидент показывает, насколько важно уходить от устаревших хэшей MD5 и DES всем, кто ещё это не сделал.

«Они неисправны, поэтому нужно уходить от этих алгоритмов на тот случай, если ваша база данных случайно окажется вне вашей организации», — предупреждает эксперт.

Mozilla, passwords, security, MD5, пароли, безопасность

по материалам TGDaily