Mozilla случайно сдала "явки и пароли" пользователей

Компания Mozilla, разработчик браузера Firefox, случайно опубликовала в открытом доступе базу данных с хэшами логинов и паролей десятков тысяч пользователей сайта addons.mozilla.org.

Эксперт по безопасности Честер Вишневский написал, что в Mozilla пароли, созданные до 9 апреля 2009 года, хранились в виде MD5-хэш, а не простого текста. Они и были скомпрометированы.

"В MD5 есть слабые места в криптографии, которые позволяют создать аналогичный хеш из нескольких цепочек, что позволяет экспертам по безопасности вычислить все возможные хеши и определить или пароль, или другую цепочку, которая все равно сработает, даже если не соответствует вашему паролю", - пояснил он.

К счастью, к этому контенту смог получить доступ только один человек, который участвовал в конкурсе поиска уязвимостей, организованном Mozilla, передает ТСН. Сразу после этого на сайте addons.mozilla.org были стерты все 44 тысяч учетных записей, как скомпрометированные, так и нет, и потом созданы новые пароли, уже с помощью технологии SHA-512, которая не подвержена этой уязвимости.

По словам Вишневского, этот инцидент показывает, насколько важно переходить от устаревших хэшей MD5 и DES всем, кто еще этого не сделал.

"Они неисправны, поэтому нужно переходить от этих алгоритмов на тот случай, если ваша база данных случайно окажется вне вашей организацией", - предупредил эксперт.