De gelekte gegevens zijn gebruikersaccounts voor de addons-server van Mozilla. Een deel van de database met die privégegevens is per ongeluk op een publiek toegankelijke server geplaatst. Een security-onderzoeker heeft dat eerder deze maand ontdekt en gelijk bij Mozilla gemeld, voor de premie op bugs die de stichting uitlooft.

‘Minimaal risico’

De open source-stichting meldt in de disclosure over dit lek dat het alle downloads van de data heeft getraceerd en dat het risico voor gebruikers minimaal is. Het gaat ook om oude data van accounts die niet langer actief zijn.

Alle wachtwoorden voor die accounts zijn nu door Mozilla gewist, waardoor de accounts effectief uitgeschakeld zijn. Gebruikers wiens logins zijn uitgelekt, zijn afgelopen maandag per mail hierover geïnformeerd.

Verouderde encryptie

Mozilla benadrukt nog dat huidige accounts en gebruikers geen gevaar lopen. De gelekte database met oude accountgegevens bevatte wachtwoorden die nog met md5 waren versleuteld. Die verouderde versleuteling is voor addons.mozilla.org sinds april 2009 vervangen door SHA-512 met gebruikersspecifieke codes (per-user salts).

Bron: Webwereld.nl