Mozilla: Teile der Nutzer-Datenbank lagen offen
Das Open Source-Unternehmen Mozilla hat auf ein aktuelles Sicherheitsproblem hingewiesen, dass die registrierten Nutzer der Add-on-Datenbank betrifft.
Den Angaben zufolge sei man Mitte Dezember von einem Sicherheits-Experten darauf hingewiesen worden, das Teile der Nutzer-Datenbank von außen frei zugänglich waren. Die Informationen seien versehentlich auf dem öffentlichen Server gespeichert worden, hieß es.
Neben den Nutzernahmen konnten so auch die Hashes der Passwörter eingesehen werden. Bei Anwendern, die nach dem 9. April 2009 mit ihren Accounts eingeloggt waren, stellt dies im Grunde kein größeres Problem dar, da die Kennungen mit dem recht sicheren SHA-512 kodiert wurden.
Allerdings enthielt die Datenbank auch noch 44.000 Accounts, die lange inaktiv waren. Bei diesen waren die Passwörter lediglich als MD5-Hash abgelegt. Das Verfahren gilt inzwischen nicht mehr als sicher, da sich inzwischen mit recht überschaubarem Aufwand Klartexte erstellen lassen, die eine passende Prüfsumme ergeben.
Mozilla hat alle fraglichen Passwort-Einträge aus seiner Datenbank gelöscht und die Nutzerkonten damit deaktiviert. Die betroffenen Anwender wurden außerdem gestern per E-Mail informiert. Sollten diese die gleiche Kombination von Nutzernahmen und Passwort auch bei anderen Web-Diensten verwenden, wird eine Änderung der Passwörter empfohlen.
Quelle: winfuture
Das Open Source-Unternehmen Mozilla hat auf ein aktuelles Sicherheitsproblem hingewiesen, dass die registrierten Nutzer der Add-on-Datenbank betrifft.
Den Angaben zufolge sei man Mitte Dezember von einem Sicherheits-Experten darauf hingewiesen worden, das Teile der Nutzer-Datenbank von außen frei zugänglich waren. Die Informationen seien versehentlich auf dem öffentlichen Server gespeichert worden, hieß es.
Neben den Nutzernahmen konnten so auch die Hashes der Passwörter eingesehen werden. Bei Anwendern, die nach dem 9. April 2009 mit ihren Accounts eingeloggt waren, stellt dies im Grunde kein größeres Problem dar, da die Kennungen mit dem recht sicheren SHA-512 kodiert wurden.
Allerdings enthielt die Datenbank auch noch 44.000 Accounts, die lange inaktiv waren. Bei diesen waren die Passwörter lediglich als MD5-Hash abgelegt. Das Verfahren gilt inzwischen nicht mehr als sicher, da sich inzwischen mit recht überschaubarem Aufwand Klartexte erstellen lassen, die eine passende Prüfsumme ergeben.
Mozilla hat alle fraglichen Passwort-Einträge aus seiner Datenbank gelöscht und die Nutzerkonten damit deaktiviert. Die betroffenen Anwender wurden außerdem gestern per E-Mail informiert. Sollten diese die gleiche Kombination von Nutzernahmen und Passwort auch bei anderen Web-Diensten verwenden, wird eine Änderung der Passwörter empfohlen.
Quelle: winfuture
