En début de mois, la communauté des développeurs de Mozilla - les membres du réseau Mozilla Developer Network - a été alertée au sujet de l'exposition sur un serveur public de 76 000 adresses mails et 4 000 mots de passe chiffrés pendant une durée de 30 jours à partir du 23 juin.

Mozilla-logoMozilla vient d'annoncer un second incident qui a cette fois-ci affecté les adresses emails et mots de passe chiffrés de près de 97 000 utilisateurs. Pas n'importe lesquels puisqu'il s'agit des utilisateurs de versions de test du logiciel de suivi de bugs Bugzilla.

Cette fuite de données est similaire à celle évoquée précédemment dans la mesure où c'est dans le cadre de la migration d'un serveur de test qu'une base de données a été copiée sur un serveur accessible publiquement. Mais l'exposition des données a été plus longue. Aux alentours de trois mois à partir du 4 mai.

Par mesure de précaution, tous les mots de passe sur les systèmes de test de Bugzilla concernés ont été réinitialisés. Les utilisateurs concernés devront donc en choisir un nouveau.

On ne sait pas si des personnes animées d'intentions malveillantes ont eu accès aux données fuitées. Le cas échéant, elles pourraient avoir recueilli du matériel utile pour des campagnes de spam ou du phishing.

Pour les mots de passe, il s'agissait de hashes salés ce qui consiste à insérer des caractères aléatoires dans le mot de passe haché. Un décryptage paraît alors improbable. Cela n'empêche pas de respecter la bonne pratique qui est de ne pas utiliser un même mot de passe pour plusieurs services, ou en tout cas réserver un mot de passe unique et robuste pour chaque service sensible.