Mozilla: c'era un buco in Bugzilla

La fondazione ammette di aver subito un accesso indiscriminato e potenzialmente malevolo alle informazioni segrete sui bug di Firefox, accesso che è poi servito almeno in caso, ad agosto. Ora è tutto risolto
La fondazione ammette di aver subito un accesso indiscriminato e potenzialmente malevolo alle informazioni segrete sui bug di Firefox, accesso che è poi servito almeno in caso, ad agosto. Ora è tutto risolto

Allarme sicurezza su Bugzilla , la piattaforma aperta su cui Mozilla tiene traccia dei bug di Firefox e degli altri progetti software gestiti dalla fondazione: ignoti malintenzionati avrebbero avuto accesso a informazioni riservate per un anno, mettendo a rischio gli utenti del browser del Panda Rosso in almeno un caso.

Stando a quanto comunica la FAQ messa online da Mozilla, l’ignoto cyber-criminale ha sfruttato un account con accesso privilegiato al database di Bugzilla, un account che ha in sostanza potuto leggere informazioni “segrete” su bug e vulnerabilità di sicurezza che i programmatori erano impegnati a chiudere prima di renderne pubblica l’esistenza.

L’accesso non autorizzato, prevedibilmente frutto di una password debole o di un attacco (riuscito) di ingegneria sociale, è apparentemente cominciato dal settembre del 2013 ed è continuato almeno fino a settembre 2014, quando l’account compromesso è stato abbattuto e sono cominciate le indagini da parte del team di sicurezza di Mozilla.

Centinaia (anzi 185) i bug “segreti” visionati dai presunti criminali , 53 dei quali classificati come gravi: di questi ultimi, 10 risultavano ancora non corretti durante l’accesso non autorizzato. È noto almeno un caso, dice ancora Mozilla, di un bug sfruttato per condurre un attacco informatico “in the wild” che è stato poi debellato con la distribuzione della versione 39.0.3 di Firefox .

Non è la prima volta che Bugzilla si trova al centro dell’attenzione per le insicurezze della piattaforma , e nel tentativo di rafforzare le difese contro gli accessi non autorizzati Mozilla ha implementato nuove policy , incluso l’obbligo di adoperare un meccanismo a doppio fattore per l’autenticazione sui server.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

07 09 2015
Link copiato negli appunti