Hacker konnten mindestens ein Jahr lang auf den eigentlich privaten Part von Bugzilla, der Bug-Datenbank von Mozilla, zugreifen. Die Hacker konnten damit Zero-Day-Lücken und andere Sicherheitslöcher im Browser einsehen und entsprechend auch ausnutzen. Dabei mussten sich die Hacker nichtmal in das System von Mozilla einhacken. Sie besaßen schon das Passwort.
Du musst angemeldet sein, um Bilder zu sehen.
Browser-Entwickler wie Mozilla sind natürlich darauf bedacht, dass keine Sicherheitslücken an die Öffentlichkeit gelangen, welche dann ausgenutzt werden könnten. Doch kein Browser ist komplett sicher, weswegen man gefundene Lecks regelmäßig mit Updates stopfen muss.
Hacker hatten über ein Jahr lang Zugriff auf Mozillas Bug-Datenbank
Die gefunden Bugs und Sicherheitslücken werden bei Mozilla in einer Datenbank namens Bugzilla festgehalten. Es gibt eine öffentlich einsehbare Datenbank und eine geschlossene, zu der nur sehr wenige Entwickler Zugriff haben. In dieser geschlossenen Datenbank werden die wirklich schwerwiegenden und relevanten Sicherheitsprobleme aufgelistet, die nicht an die Öffentlichkeit gelangen dürfen. Nun gelang es aber Hackern, Zugriff auf genau diese Datenbank zu erhalten - und zwar, indem sie einfach ein Passwort nutzten.
Ein Mitarbeiter von Mozilla setzte sein Passwort für den geschlossenen Bugtracker auch auf einer anderen Website ein. Von dort wurde dieses Passwort gestohlen, das die Hacker anschließend einfach bei Bugzilla nutzen konnten. Dort hatten Sie Zugriff auf alle gelisteten Bugs und Sichereheitslecks. Und zwar mindestens ein Jahr lang - eventuell sogar zwei Jahre lang. Dadurch konnten die Hacker immer sehen, welche Sicherheitslücke zu welchem Zeitpunkt offen war und wie man diese ausnutzen konnte. Diese Daten wurden vermutlich gewinnbringend verkauft. Sicher ist, dass die Datendiebe seit September 2014 Zugriff auf Bugzilla hatten, wenn nicht sogar schon seit September 2013.
Die meisten der gelisteten Fehler waren zwar bereits geschlossen oder wurden sehr schnell behoben, einige allerdings nicht. Angeblich befanden sich Sicherheitslücken in der Liste, die bis zu 335 Tage nicht behoben wurden. Allerdings wurde von diesen gelisteten Lecks nur ein einziges auch ausgenutzt. Dieses betraf den im Firefox integrierten PDF-Reader. Mozilla gibt an, inzwischen alle Sicherheitslücken geschlossen und die Mitarbeiter dazu aufgefordert zu haben, ihre Passwörter zu ändern. Außerdem wurde eine Zwei-Faktor-Authentifizierungsmethode eingeführt, um für eine höhere Sicherheit zu sorgen. Als weitere Maßnahme werden nur noch die wirklich nötigsten Mitarbeiter Zugriff auf die Bug-Datenbank erhalten.
Quelle: Gulli
