Eine Datenbank mit Anmeldungsdaten von 44000 Nutzern des Add-on-Servers von Mozilla lag ungeschützt zum Download bereit. Ein Sicherheitsforscher machte die Mozilla Foundation Mitte Dezember auf diesen Missstand aufmerksam. Gestern kontaktierte Mozilla alle betroffenen Anwender per E-Mail, dass man sicherheitshalber ihre Kennwörter gelöscht und damit ihre Accounts deaktiviert habe. Wer dasselbe Kennwort auf anderen Sites benutzt hat, sollte es ändern.
Mozilla versichert, man habe alle Downloads der Datenbank nachverfolgen können – der einzige Zugriff von außen sei durch den Entdecker der Sicherheitslücke geschehen. Zudem habe die Datenbank nur die Daten inaktiver Nutzer enthalten; aktive Benutzer von addons.mozilla.org seien somit nicht betroffen.
In der betroffenen Datenbank waren die Kennwörter der Anwender als MD5-Hash abgelegt. Dieses Verschlüsselungsverfahren ist veraltet, da sich aus MD5-Prüfsummen über Collision Attacks das ursprüngliche Kennwort ermitteln lässt. Seit April 2009 legt Mozilla alle Kennwort-Hashes per SHA-512 verschlüsselt ab, die zusätzlich mit einer individuellen Zufallszahl (Salt) abgesichert werden.
Im Dezember hatte die Mozilla Foundation eine Initiative ins Leben gerufen, bei der die Stiftung den Findern von Sicherheitslücken in Mozilla-Diensten eine Prämie zahlt.
Quelle :
www.heise.de
