Dados de 44 mil usuários da Mozilla estavam disponíveis na internet

30/12/2010 02:32

 Organização disse que dados não vazaram na web. 

  Mesmo assim, as contas afetadas foram desativadas. 


imagem



A Mozilla redigiu uma nota pública informando que foi avisada que uma parte dos seus bancos de dados estava disponível na internet. A organização disse que a única pessoa a obter os dados foi a mesma que avisou a organização pelo programa de recompensa por informações de falhas de segurança. Mesmo assim, usuários do site "addons.mozilla.org", que tiveram suas senhas reveladas pelo incidente, tiveram as contas desativadas e vão receber um e-mail informando o ocorrido. 

Assim como o Google, a Mozilla paga pesquisadores por informações a respeito de vulnerabilidades em seus sistemas. O banco de dados teria sido parcialmente publicado por acidente. 

Formato MD5 
As senhas não estavam disponíveis em formato de “texto simples”, mas sim no formato MD5. O MD5 cria uma sequência de 32 caracteres de letras e números para qualquer valor fornecido. Por exemplo, uma senha de quatro caracteres transforma-se em uma sequência de 32, e uma senha de 200 caracteres também se transformaria em uma de apenas 32. Não é possível reverter o MD5 e obter a senha original, então o sistema de login realiza novamente o MD5 na senha fornecida pelo internauta e compara se o valor de MD5 obtido é o mesmo que está no banco de dados. 

O formato MD5 é hoje considerado inseguro devido à existência das chamadas “rainbow tables”, que fornecem valores pré-calculados de MD5. Ou seja, são tabelas que armazenam os valores que formam todos os MD5 possíveis. 

Em outras palavras, com o nome do usuário e o MD5, um hacker consegue invadir a conta descobrindo a senha ou outra sequência de caracteres que terá o mesmo valor MD5 e que, portanto, será aceita pelo sistema como se fosse a senha. 

Desde abril de 2009, para contas novas e contas que tiveram suas senhas trocadas, a Mozilla não usa mais a segurança em MD5 e sim o SHA-512, que é mais recente e mais seguro. 

O recente vazamento de senhas da Gawker foi mais sério que o da Mozilla, porque o banco de dados foi invadido e depois disponibilizado abertamente na internet. Mesmo assim, é o segundo incidente do gênero em menos de um mês.