Nouveau problème de sécurité chez Mozilla : pendant près de trois mois, environ 97 000 comptes utilisateurs, comprenant email et mots de passe chiffrés, étaient disponibles sur les serveurs de Bugzilla, le service de gestion de bugs de Mozilla.
Début août, Mozilla annonçait qu'une base de données, comprenant 76 000 adresses emails ainsi que 4 000 mots de passe hachés et salés, avait été entreposée sur un serveur accessible à tout le monde. Bien évidemment, le souci est désormais corrigé et la société indiquait alors qu'elle allait mener des investigations afin de « réduire la probabilité que quelque chose comme ça se reproduise à nouveau ».
Manque de chance pour Mozilla, l'histoire vient de se répéter, mais sur le service Bugzilla cette fois-ci. Pour rappel, il s'agit d'un logiciel libre de suivi et de gestions de bugs, notamment utilisé par Gnome, KDE, Mandriva, Eclipse et bien d'autres. Ainsi, à partir du 4 mai 2014 et pendant une durée de trois mois, 97 000 comptes utilisateurs (adresses email et mots de passe chiffrés) étaient stockés sur un serveur accessible non protégé. En cause, la migration d'un serveur de test qui ne s'est pas déroulé comme prévu. Bugzilla indique avoir été prévenu par l'un de ses contributeurs.
Dans son billet, la société précise que, « de manière générale, les développeurs qui utilisent nos révisions de tests comprennent qu'elles ne sont pas sécurisées et qu'elles peuvent être cassées. De fait, ils n'utilisent pas des mots de passe qu'ils réutiliseraient ailleurs ». Une pratique qui devrait d'ailleurs être une règle de base, mais qui n'est pas toujours si simple à mettre en place. Mozilla ajoute cependant : « parce qu'il est possible que nos utilisateurs aient réutilisé le même mot de passe sur d'autres sites ou systèmes d'identification, nous avons envoyé un bulletin aux utilisateurs touchés par ce problème en leur demandant de changer les mots de passe similaires qu'ils auraient pu utiliser ailleurs ».
Enfin, et « comme précaution supplémentaire », l'éditeur ajoute que tous les mots de passe de son serveur de test Landfill.Bugzilla.org ont été réinitialisés. Tous les utilisateurs devront donc en saisir un nouveau lors de leur prochaine connexion. Bien évidemment, un changement des procédures a été mis en place afin d'éviter qu'un nouvel incident du genre ne se reproduise. Néanmoins, deux fois de suite en moins d'un mois, cela commence à faire beaucoup pour Mozilla, surtout que la société mise beaucoup sur la sécurité et la confidentialité des données.
Espérons maintenant que les dispositions prises suite à la fuite de données du début du mois porteront leurs fruits. Dans le cas actuel, cela ne changera pas grand-chose puisque le souci existe depuis début mai, mais il ne faudrait pas que l'histoire se répète encore et encore.
Commentaires (12)
#1
Je présume que quelqu’un a déjà pensé à leur poster un ticket ?
" />
#2
Je ne comprends pas quels utilisateurs sont touchés.
Sont-ce uniquement ceux qui étaient enregistrés sur LandFill ?
#3
4 000 mots de passe hachés et salés
J’en ai l’eau à la bouche
#4
Est-ce qu’il y a des photos de développeurs à poil?
#5
Putain, non mais sérieusement quoi…
Deux fois que je me retrouve dans leurs fichiers daubés, ils font chier chez Mozilla.
C’est fini, plus de contribution ni de rapport de bug pour leurs produits, c’est la goutte d’eau.
#6
S’agit-il de comptes Sync ?
#7
#8
#9
#10
Mais Landfill ça sert à rien, c’est un Bugzilla bac à sable pour créer des comptes à la con et utiliser le logiciel, je dois avoir 4 ou 5 comptes là-bas que j’ai utilisé une seule fois pour tester Bugzilla.
#11
#12