Mozilla: c'era un buco in Bugzilla

La fondazione ammette di aver subito un accesso indiscriminato e potenzialmente malevolo alle informazioni segrete sui bug di Firefox, accesso che è poi servito almeno in caso, ad agosto. Ora è tutto risolto

Roma – Allarme sicurezza su Bugzilla , la piattaforma aperta su cui Mozilla tiene traccia dei bug di Firefox e degli altri progetti software gestiti dalla fondazione: ignoti malintenzionati avrebbero avuto accesso a informazioni riservate per un anno, mettendo a rischio gli utenti del browser del Panda Rosso in almeno un caso.

Stando a quanto comunica la FAQ messa online da Mozilla, l’ignoto cyber-criminale ha sfruttato un account con accesso privilegiato al database di Bugzilla, un account che ha in sostanza potuto leggere informazioni “segrete” su bug e vulnerabilità di sicurezza che i programmatori erano impegnati a chiudere prima di renderne pubblica l’esistenza.

L’accesso non autorizzato, prevedibilmente frutto di una password debole o di un attacco (riuscito) di ingegneria sociale, è apparentemente cominciato dal settembre del 2013 ed è continuato almeno fino a settembre 2014, quando l’account compromesso è stato abbattuto e sono cominciate le indagini da parte del team di sicurezza di Mozilla.

Centinaia (anzi 185) i bug “segreti” visionati dai presunti criminali , 53 dei quali classificati come gravi: di questi ultimi, 10 risultavano ancora non corretti durante l’accesso non autorizzato. È noto almeno un caso, dice ancora Mozilla, di un bug sfruttato per condurre un attacco informatico “in the wild” che è stato poi debellato con la distribuzione della versione 39.0.3 di Firefox .

Non è la prima volta che Bugzilla si trova al centro dell’attenzione per le insicurezze della piattaforma , e nel tentativo di rafforzare le difese contro gli accessi non autorizzati Mozilla ha implementato nuove policy , incluso l’obbligo di adoperare un meccanismo a doppio fattore per l’autenticazione sui server.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • zuccottolo scrive:
    spotify non deve giustificarsi!
    la privacy è per i terroristi, quindi chi si lamenta dovrebbe ricevere la visita delle teste di cuoio, altro che ottenere spiegazioni!
    • Steve Ballmer scrive:
      Re: spotify non deve giustificarsi!
      - Scritto da: zuccottolo
      la privacy è per i terroristi, quindi chi si
      lamenta dovrebbe ricevere la visita delle teste
      di cuoio, altro che ottenere
      spiegazioni!Giusto! E poi in cella, con Mandingo! Anche questa Gaia Bottà la metterei in cella. Con Mandingo, ovviamente.
Chiudi i commenti