Mozilla : deuxième fuite de données

Le par  |  4 commentaire(s)
Bugzilla-logo

Une petite bourde de Mozilla a compromis les adresses mails et mots de passe de 97 000 testeurs de versions préliminaires de Bugzilla. C'est le deuxième incident de ce genre qui est révélé ce mois-ci.

En début de mois, la communauté des développeurs de Mozilla - les membres du réseau Mozilla Developer Network - a été alertée au sujet de l'exposition sur un serveur public de 76 000 adresses mails et 4 000 mots de passe chiffrés pendant une durée de 30 jours à partir du 23 juin.

Mozilla-logoMozilla vient d'annoncer un second incident qui a cette fois-ci affecté les adresses emails et mots de passe chiffrés de près de 97 000 utilisateurs. Pas n'importe lesquels puisqu'il s'agit des utilisateurs de versions de test du logiciel de suivi de bugs Bugzilla.

Cette fuite de données est similaire à celle évoquée précédemment dans la mesure où c'est dans le cadre de la migration d'un serveur de test qu'une base de données a été copiée sur un serveur accessible publiquement. Mais l'exposition des données a été plus longue. Aux alentours de trois mois à partir du 4 mai.

Par mesure de précaution, tous les mots de passe sur les systèmes de test de Bugzilla concernés ont été réinitialisés. Les utilisateurs concernés devront donc en choisir un nouveau.

On ne sait pas si des personnes animées d'intentions malveillantes ont eu accès aux données fuitées. Le cas échéant, elles pourraient avoir recueilli du matériel utile pour des campagnes de spam ou du phishing.

Pour les mots de passe, il s'agissait de hashes salés ce qui consiste à insérer des caractères aléatoires dans le mot de passe haché. Un décryptage paraît alors improbable. Cela n'empêche pas de respecter la bonne pratique qui est de ne pas utiliser un même mot de passe pour plusieurs services, ou en tout cas réserver un mot de passe unique et robuste pour chaque service sensible.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1806571
"en tout cas réserver un mot de passe unique et robuste pour chaque service sensible."

Je veux bien, mais il est impossible sur plusieurs sites/services de créer des mots de passes de 35 voire 50 caractères, souvent on est limité à 8, 12 ou 16, limite imposée par le site/service
Le #1806581
Moralité, si vous êtes testeur pour Mozilla ne vous fatiguez pas à mettre un mot de passe robuste, 1234 suffit puisqu'il sera diffusé sur Internet le mois prochain

Le #1806590
On fait un foin mais :

- Ils sont testeurs ! Donc soumis aux bugs, aux failles et fuites en tout genre. A eux de ne pas déposer d'informations sensibles pendant cette phase de mise en oeuvre. Dans testeurs, il y a "test" (si si, je vous assure )

- Il est impossible de combler une faille si elle n'est pas découverte ! Les testeurs sont là pour ca ! (si si, je vous le certifie aussi )

Ca me fait penser aux utilisateurs qui se disent super protégés car leur antivirus ne détecte rien ... Et quand on en installe un plus performant, on est obligé de les réanimer suite au malaise qu'ils font à voir le nombre de bestioles dans leur bécane

Alors ... STOP aux titres tapageurs et laissez les développeurs faire leur boulot et combler les failles grâce aux testeurs
Le #1806645
On n'a pas idée aussi de laisser ses mots de passe en dépôt chez un tiers quel qu'il soit !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]