Mozilla publica accidentalmente nombres y contraseñas de 44.000 usuarios

---

Desde la fundación Mozilla han comunicado que ha sido publicada por

error una parte importante de los datos de usuarios registrados en

addons.mozilla.org, concretamente el identificador de usuario y hash

MD5 de las contraseña de 44.000 de sus usuarios.



Al parecer el fallo se debió a que esta información fue dejada en un

servidor público de manera accidental hasta que, el 17 de diciembre, un

investigador independiente alertó de este error a través del programa de

recompensas. No se sabe en qué fecha ni por qué se hicieron públicos los

datos.



Desde Mozilla aseguran, después de un análisis de sus logs, que las

únicas personas que accedieron a la información fueron la persona que

puso en conocimiento esta información y miembros del equipo Mozilla.

Además, al parecer pertenecían a usuarios "inactivos". La empresa ha

respondido deshabilitando las cuentas y mandando un correo electrónico

a todos los afectados para que recuperen sus contraseñas.



El problema de esta divulgación accidental reside en las cada vez más

escasas garantías que ofrece MD5 debido a su debilidad criptográfica. En

pocas palabras: es relativamente sencillo obtener, a partir del hash

MD5, la contraseña original si no es extremadamente compleja. Además, en

este caso la contraseña no contenía una "sal". Por esta razón Mozilla

adoptó en abril de 2009 un sistema criptográfico más seguro, SHA512 para

almacenar sus contraseñas, y es el método que utilizan todas las cuentas

actuales.

http://www.hispasec.com/unaaldia/4455/



Comentario:

Al menos es una tranquilidad saber que actualmente ya usan un sistema mas seguro, pero sin duda a los 44.000 usuarios afectados no les será suficiente..



saludos



ms, 5-1-2011