Una brecha de seguridad que estuvo abierta por más de un mes pudo haber expuesto las direcciones de correo y contraseñas de decenas de miles de usuarios de la red de desarrolladores de Mozilla en un servidor de acceso público.
Stormy Peters, director de Relaciones de Desarrollo de Mozilla y Joe Peters, director de Operaciones de Seguridad de la compañía, alertaron que un error en la base de datos de la Mozilla Developer Network (MDN) hizo que las direcciones de correo de 76.000 usuarios y las contraseñas cifradas de alrededor de 4.000 personas estuvieran expuestas a intrusos durante un mes a partir del 23 de junio.
El problema se encontraba en que el proceso de saneamiento de la base de datos de la MDN no estaba funcionando. “Eliminamos el archivo de volcado de memoria de la base de datos el instante en que nos dimos cuenta de la situación, y el proceso que genera el volcado de memoria se desactivó para evitar que se repita”.
Los expertos de Mozilla aseguraron que las contraseñas estaban cifradas y, aunque no lo hayan estado, no son suficientes por sí mismas para autentificar sitios. También dijeron que hasta ahora no se ha encontrado ninguna actividad sospechosa que indique que algún usuario malicioso está utilizando los datos robados. Aun así, los portavoces de Mozilla insistieron en que esto no significa que la información esté a salvo, por lo que se debe proceder a tomar las medidas de seguridad necesarias para evitar que el incidente pase a mayores.
“Hemos notificado a los usuarios sobre el problema y les estamos recomendando soluciones a corto plazo. También estamos revisando los procesos y principios de nuestros servidores para reducir las posibilidades de que vuelva a pasar algo por el estilo”, aseguraron los portavoces de Mozilla después de disculparse con sus usuarios por el incidente.
Fuentes:
Thousands of Mozilla developers’ e-mail addresses, password hashes exposed Ars Technica
Mozilla warns of leaky developer network database PC World
Red-faced Mozilla apologises for leaking user data IT News
Falla de seguridad pudo haber filtrado la información de los usuarios de Mozilla