giovedì 30 dicembre 2010

Mozilla rende pubblici accidentalmente ID utente e hash delle password


Mozilla ha esposto per errore 44.000 account registrati al programma addons.mozilla.org, con password cifrate con algoritmo hash MD5, su un server pubblico. Il rischio sembra minimo, ma potrebbe esserci una danno legato all'utiilizzo di nickname e password identiche su più portali. Ogni account conteneva anche informazioni quali l'indirizzo email, il nome e il cognome.

Mozilla, lo sviluppatore di popolari applicazioni open source come Firefox e Thunderbird, ha annunciato che un database contenente i nomi utente e gli hash delle password appartenenti a utenti dell'addons.mozilla.org è stato reso pubblico per caso. Se avete creato un account su addons.mozilla.org e voi siete uno dei 44.000 utenti che potrebbero essere stati colpiti da questa rivelazione accidentale, dovreste aver ricevuto una email di notifica da parte del team di sicurezza di Mozilla. 

Ma non si tratta di un'altra semplice storia di perdita di dati in un mare di nomi utente e password. Fortunatamente, Mozilla non memorizza le password in testo normale. Mozilla ha memorizzato le password prima del 9 Aprile 2009 come hash MD5 (Message Digest algorithm 5). Mentre l'algoritmo MD5 può essere utilizzato per memorizzare le password in modo sicuro, non è chiaro come l'MD5 sia stato utilizzato dall'infrastruttura di Mozilla. 


Mozilla ha controllato i propri registri e ha stabilito che l'unica persona al di fuori di Mozilla che ha avuto accesso al contenuto è stata la persona che ha rivelato la pubblicazione accidentale attraverso il programma web che permette ai volontari di segnalare bug relativi alla sicurezza. I funzionari della sicurezza di Mozilla sono stati informati della esposizione il 17 dicembre. 

La Fondazione ha inviato una notifica dell'esposizione via e-mail a tutti i titolari di account il 27 dicembre scorso. Mozilla ha cancellato i via precauzionale le password di tutti i 44.000 account che sono stati memorizzati in formato MD5 dal sito addons indipendentemente dal fatto che siano stati esposti o meno. Le password appena create non saranno vulnerabili da una simile rivelazione, infatti, dal 9 aprile 2009 Mozilla ha utilizzato la crittografia SHA-512 per memorizzare gli hash delle password di ogni utente, perchè considerata più sicura. 

Questo algoritmo di hash fornisce un significativo miglioramento della sicurezza per i titolari di un account addons.mozilla.org. Se voi foste uno dei sfortunati destinatari di una di queste e-mail, assicuratevi di non utilizzare la stessa password di Mozilla quando siete in altri siti. "Attualmente gli utenti e gli account di addons.mozilla.org non sono a rischio," ha dichiarato Chris Lyon, direttore dell'infrastruttura di sicurezza di Mozilla. 

Mentre Mozilla è abbastanza fiducioso che nessun altro, tranne la persona che ha denunciato l'accaduto abbia avuto accesso al fascicolo, se tali dichiarazioni fossero sbagliate o vengono divulgate le informazioni, altri account potrebbero essere a rischio. Ricordate, che le password univoche sono un obbligo, non un lusso. Sophos si congratula con Mozilla per la loro risposta a questo incidente, ma lascia alcune questioni che bisogna considerare. 


Come è accaduto che accidentalmente possano venir pubblicati i file contenenti i nomi utente e gli hash delle password? Sophos ha posto la domanda al team di sicurezza ed è stata deferita in un post del blog che spiega la loro risposta. Col senno di poi Mozilla aveva preso la decisione giusta quando, fino al 2009, aveva iniziato ad utilizzare un sistema più sicuro (SHA-512 per utente attivo). 

Questo è interessante e probabilmente anche importante, ma ancora non scusa o spiega, in primo luogo, come mai dettagli degli account siano stati compromessi. Infatti, i database degli account, quelli che contengono password codificati in hash, non dovrebbero essere leggibili da tutti. Purtroppo c'è un danno collaterale che Mozilla non può controllare, infatti molti utenti usano nickname e password identici su più portali. 

Chi ha scaricato il database potrebbe essersi appropriato quindi di una password valida anche su altri siti. Se si riceve una mail che avvisa che la vostra password potrebbe essere stata compromessa, sia da Mozilla o da chiunque altro, non cliccare su nessun link nella mail per andare ad aggiornare la vostra password. Questo è il trucco per i truffatori. Ricordatevi sempre di fare le operazioni sempre alla relativa pagina di modifica della password.

Nessun commento:

Posta un commento