Saját hiba-adatbázisát feltörve támadták a Firefoxot
A Bugzilla feltörésével szerzett, biztonsági hibákra vonatkozó adatok alapján támadott meg Firefox felhasználókat egy ismeretlen hacker. A Mozilla szerint bár a böngésző augusztus végi verziója minden ide tartozó sebezhetőséget befoltozott, volt olyan súlyos biztonsági rés, amelyhez a támadó majdnem egy évig hozzáfért.
A Mozilla biztonsági hibajelentéseiből lopott el adatokat egy ismeretlen támadó, aki az információkat jó eséllyel már fel is használta a Firefox böngésző felhasználói ellen. Bár a vállalat Bugzilla névre hallgató bugkövető rendszere, illetve az abban összegyűjtött adatok alapvetően nyilvánosak, egyes, biztonsági szempontból érzékeny információkhoz a vállalat értelemszerűen csak a magasabb jogosultságokkal rendelkező felhasználóknak enged hozzáférést.
A támadónak egy ilyen, magas szintű felhasználói fiókba sikerült beférkőznie - a jelenlegi értesülések szerint a fiók tulajdonosa, egy másik weboldalon is ugyanazt a jelszót használta, mint a Bugzilla felületén. A Mozilla már nagy erőkkel vizsgálja az esetet, továbbá a probléma felfedezését követően lekapcsolta a fiókot, amelyet az illetéktelen behatoló az adatlopáshoz használt. A cég blogposztja szerint már több lépést is tett, hogy a felhasználókat fenyegető közvetlen veszélyeket elhárítsa.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A behatoló a böngészőt használók elleni támadáshoz nagy valószínűséggel a Mozilla által idén augusztus 6-án befoltozott sebezhetőséget használta ki, összesen pedig 185 nem publikus bughoz jutott hozzá, amelyek közül 53 számított súlyos biztonsági résnek, 22-t soroltak a kisebb biztonsági kockázatot jelentő hibák közé, a maradék 110-et pedig egyéb bugok tették ki. A vállalat egyelőre semmilyen arra utaló jelet nem talált, hogy a támadó más megszerzett adatokat is felhasznált volna a Firefox felhasználói ellen - a böngésző augusztus 27-én kiadott verziója mindenesetre már minden biztonsági réshez tartozó hibajavítást tartalmazott, amelyhez a hackernek a támadás időpontjában alkalma lehetett hozzájutni.
Azt egyelőre nem sikerült kideríteni, hogy a támadó pontosan mikor tört be a Bugzilla rendszerébe: a Mozilla 2014 szeptemberében tudomást szerzett egy-két illetéktelen behatolásról, ugyanakkor a cég szerint a hacker akár ezt egy évvel megelőzően is bejuthatott felületre. Ez alapján a a súlyos biztonsági hibák közül hármat több mint 36 napig - az egyikhez 335 napon keresztül - volt lehetősége kihasználni.
A nyomozás tehát folyik, a hasonló esetek megelőzésére továbbá a Bugzilla felületén Mozilla immár minden felhasználó számra kötelezővé tette a kétfaktoros bejelentkezés használatát, illetve jelszavaikat is meg kell változtatniuk. A vállalat mindezek mellett a kiterjedt jogosultságokkal rendelkező felhasználók számát, illetve azok lehetőségeit is csökkenti, ezzel az újabb potenciális behatolás kockázata mellett a hozzáférhető adatmennyiséget is mérsékelve. A Mozilla a házon belül végzett intézkedések mellett már az illetékes hatóságokat is értesítette az esetről.