Mozilla hat Passwörter auf einem öffentlichen Server vergessen

Laut Sicherheits-Chef Chris Lyon wurde Mozilla über das Kopfgeld-Programm von der Sicherheitslücke in Kenntnis gesetzt. Man konnte aber jeglichen Download dieser Datenbank zählen. Für die Anwender sei das Risiko nur minimal gewesen. Dennoch fühlte man sich verpflichtet, die Panne zu veröffentlichen.

Die Datenbank enthielt 44.000 inaktive Konten, die ältere md5-basierte Passwort-Hashes benutzten. Alle aktuellen Konten auf addons.mozilla.org benutzen sicherere, gesalzene SHA-512-Passwörter. Die eben genannte Methode sei seit April 2009 der Standard. Die Panne würde kein Risiko für aktuelle Konten darstellen und die Mozilla-Infrastruktur auch nicht beeinflussen. Betroffene Anwender wurden am 27. Dezember via E-Mail informiert. (jdo)