Mozilla pubblica delle password per errore: nessuno le ha consultate

Circa 44.000 password di utenti inattivi su Firefox Add-Ons sono state pubblicate per errore da Mozilla. Il database in questione, contenente gli hash MD5 delle parole-chiave, non è stato consultato da nessuno… escluso il responsabile della sicurezza che si è accorto del problema. Un caso che Mozilla avrebbe potuto tacere senza grandi conseguenze, in quanto gli utenti esposti non accedono alla piattaforma da oltre un anno.

È ancora più apprezzabile il fatto che, invece di soprassedere, Mozilla abbia fatto pubblica ammenda: la pubblicazione delle password (che non erano in chiaro) è passata inosservata e nessuno ha approfittato dell’occasione. Per fugare ogni dubbio, Mozilla ha cancellato tutte le parole-chiave che sono apparse sul web e costretto gli utenti coinvolti a reimpostarle. Pochi lo faranno, non usando i profili dal 9 aprile 2009.

Ecco perché le password sono finite erroneamente su internet: da più di un anno, Mozilla ha cambiato l’algoritmo di cifratura delle credenziali degli utenti — passando dal Data Encryption Standard (DES) al Secure Hash Algorithm (SHA). Nello specifico gli hash pubblicati erano di tipo MD5, mentre ora Mozilla si avvale di SHA-512. Le password esposte non erano state riconvertite perché i proprietari risultavano inattivi.

Via | ReadWriteWeb

(nessun voto)

6 commenti

Categorie

• Mozilla
• Security

Articoli simili

Dropbox ha reso open source il sistema di valutazione delle password del 12 apr 2012

KDE 4.8 inaugura KSecretService per la memorizzazione delle password del 23 dic 2011

Mozilla e Khronos Group per un Web 3D del 25 mar 2009

Pidgin e la memorizzazione delle password del 26 mag 2007

Mozilla Thunderbird 2 Beta 2 del 25 gen 2007

Argomenti Simili

data encryption standard, firefox add-ons, mozilla security, secure hash algorithm

Gallerie Correlate

• 
  Mozilla fa marcia indietro sull'EULA
• 
  BackTrack

Commenti dei lettori

• erasmusjam

  29 dic 2010 - 11:51 - #1

  0 punti

  

  Per risalire ad una password a partire dall’hash con un approccio brute force ci vogliono in media 2^127 tentativi cioè ~10^38. Con una CPU i7 extreme edition a 3,3 Ghz si hanno 147600 MIPS. Fate voi i conti del tempo necessario…a meno che non si disponga di un cluster con decine di migliaia di CPU si parla di tempi geologici.
  A meno che le password originarie non fossero così semplici (attacco a dizionario) da poterle trovare con una semplice table lookup come questa:
  http://tools.benramsey.com/md5/

• Franchino Franchetto

  29 dic 2010 - 12:53 - #2

  0 punti

  

  Ho capito, allora diffondiamole tranquillamente ai quattro venti.
  Se poi consideriamo che la funzione MD5 non è iniettiva, e che la mia complessissima password alfanumerica potrebbe corrispondere alla stessa stringa hash di “ciao” (un’ipotesi molto remota ma pur sempre con una percentuale sopra lo 0 di probabilità) ecco fatta la frittata anche con il dizionario.

• denadai2

  29 dic 2010 - 13:43 - #3

  0 punti

  

  Attacco rainbow table, attacco a compleanno o l’attacco di Klima per trovare una collisione md5 in un minuto ti dicono nulla?

  :)

• maddaix

  29 dic 2010 - 21:43 - #4

  0 punti

  

  come stracavolo fa una serie di dati a finere in internet “per errore”? cioe’, non e’ come dimenticarsi il latte fuori dal frigo o dimenticare di spegnere la televisione, qui ci vuole un ci-o-gi-elle-i-o-enne-e che scientemente PUBBLICA.

• interistadoccg

  30 dic 2010 - 16:19 - #5

  0 punti

  

  Come fanno a sapere che nessuno le ha consultate?

• 

  sandro-kensan

  30 dic 2010 - 22:56 - #6

  0 punti

  

  file di log?