Mozilla ha pubblicato per errore su un proprio server pubblico circa 44.000 account inattivi, con relative password, di utenti su Firefox Add-ons. Il database in questione conteneva infatti per ogni account la password cifrata con l'algoritmo di hashing MD5 (abbandonato da Mozilla il 9 aprile 2009 a favore di SHA-512) e altre informazioni come l’indirizzo di posta elettronica, il nome e il cognome dell’utente. Le password non erano state riconvertite dal momento che gli utenti risultavano inattivi. Fortunatamente nessuno, a parte il responsabile della sicurezza che ha individuato il problema, ha avuto modo di consultare il database, nè corrono alcun rischio gli utenti attuali del sito. L’organizzazione ha subito disabilitato gli account cancellando le password ed ha contattato gli utenti coinvolti con una e-mail per avvertirli di quanto successo. Anche se il rischio è stato pertanto ridotto al minimo, gli esperti consigliano ugualmente agli utenti contattati da Mozilla di accertarsi di non utilizzare la stessa password anche su altri Web ed eventualmente di cambiarla immediatamente.
|