Connexion
Abonnez-vous

Mozilla Developer Network : jusqu’à 76 000 adresses emails exposées

« Oups »

Mozilla Developer Network : jusqu'à 76 000 adresses emails exposées

Le 04 août 2014 à 07h40

Un problème technique dans une routine de traitement des données a provoqué chez Mozilla la publication d’une base de données sur un serveur public en libre accès. Cette base contenait les adresses emails et une partie des mots de passe chiffrés d’un grand nombre de développeurs. Rien n’indique qu’il y ait eu accès à ces informations, mais l’éditeur invite à la prudence.

76 000 adresses email et 4 000 hashs de mots de passe

Difficile pour une entreprise comme Mozilla, pour qui la sécurité et le respect de la vie privée sont des mantras,  de devoir avouer qu’il y a peut-être eu vol de données sur ses serveurs. C’est en essence ce que l’éditeur indique dans un billet pour prévenir les développeurs du Mozilla Developer Network (MDN) que leurs adresses emails et peut-être un hash de leur mots de passe ont fuité.

 

À la racine de cet incident, on trouve un processus d’assainissement des données. Il appliquait une série d’opérations sur une base de données contenant l’ensemble des comptes du MDN, quand un problème a provoqué la copie d’une partie de la base sur un serveur dont l’accès est public. Au final, ce sont 76 000 adresses email et 4 000 hashs qui ont ainsi été entreposés sur ce serveur durant une trentaine de jours environ, à partir du 23 juin. 

L'éternel souci de la réutilisation des mots de passe 

Mozilla précise que l’accès a été coupé et que les données ont été retirées dès que l’équipe s’est aperçue du problème. Le processus fautif d’assainissement des données a de son côté été désactivé pour que le problème ne se reproduise plus dans l’immédiat, le temps de trouver le problème. L’éditeur ajoute qu’à sa connaissance, il n’y a pas eu d’activité malveillante sur le serveur dont l’accès était public et qu’il n’y a donc pas eu, a priori, d’accès aux données.

 

firefox

 

L’entreprise met cependant en garde car rien ne garantit aujourd’hui que ces informations n’ont pas été trouvées et copiées. Selon Mozilla, les mots de passe ont été hachés et salés « et ne peuvent par eux-mêmes être utilisés pour s’authentifier sur le MDN aujourd’hui ». Il existe cependant toujours le problème de la réutilisation des identifiants : si les mots de passe ont été trouvés, ils pourraient servir à entrer sur d’autres comptes.

 

Tous les développeurs concernés ont été avertis pour qu’ils puissent prendre les mesures nécessaires. Idéalement, ils devraient changer leur mot de passe pour le MDN, mais également tous ceux des services qui auraient réutilisé ces identifiants. On rappellera qu’il n’est pas recommandé de se servir du même mot de passe sur plusieurs services, car la moindre fuite d’informations sur l’un d’eux permettra d’accéder à tous les autres.

 

L’éditeur promet dans son billet que tout sera mis en place pour que ce type d’incident ne se reproduise pas. Un examen des opérations sera ainsi effectué « pour réduire la probabilité que quelque chose comme ça se reproduise à nouveau ».

Commentaires (11)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



si les mots de passe ont été trouvés, ils pourraient servir à entrer sur d’autres comptes.





Il y a des M. Michu qui developpent chez Mozilla ? <img data-src=" />

Bon, j’ai changé mon MdP par prudence.

votre avatar

Mouais, j’ai pas reçu de mail pour m’informer de ce léger soucis.

Alors soit mon mail/pass ne fait pas partie de la liste, soit ils ont pas encore informé tout le monde…

Dans tous les cas, je suis couvert par une simple mesure que j’utilise systématiquement : mail unique et mot de passe unique pour ce ‘site’

votre avatar







Tatsu-Kan a écrit :



Mouais, j’ai pas reçu de mail pour m’informer de ce léger soucis.

Alors soit mon mail/pass ne fait pas partie de la liste, soit ils ont pas encore informé tout le monde…

Dans tous les cas, je suis couvert par une simple mesure que j’utilise systématiquement : mail unique et mot de passe unique pour ce ‘site’







Ils n’ont peut-être averti que ceux dont l’adresse a été publiée… Moi j’ai reçu le mail il y a 2 jours.



(à noté aussi que c’est les comptes uniquement sur developer.mozilla.org pas sur support.mozilla.org ou autre <img data-src=" />)


votre avatar

Rien reçu, pour ma part.

votre avatar

Quand je vous disais que c’était des branquignols chez Mozilla… <img data-src=" />

votre avatar







JR_Ewing a écrit :



Quand je vous disais que c’était des branquignols chez Mozilla… <img data-src=" />





Les données ont été accessibles facilement pendant un certain temps, mais impossible de dire si elles ont été dupliquées par des pirates ou pas. Si ça ne trouve rien n’a été compromis (ça semble être le cas puisqu’ils indiquent qu’aucune activité suspecte n’a été détectée sur ce serveur). Si ça se trouve tout a été recopié. Dans le doute, Mozilla recommande à tout le monde de changer de mots de passe.



Si tu as lu la news, tu dois savoir que même si ces données ont été volées, elles sont insuffisantes pour se connecter et pour pirater les comptes de chez Mozilla. En revanche, si les gens ont utilisé ce mot de passe ailleurs (sur Gmail ou que sais-je), alors leurs autres comptes courent un danger. C’est pourquoi il est recommandé de changer ses mots de passe.



On est donc loin d’un scénario catastrophe, comme ça a été le cas avec Sony, Facebook, Apple, et autres grandes entreprises… Alors c’est qui les branquignols ?


votre avatar

J’ai aussi reçu leur e-mail samedi, pour mon compte MDN.

votre avatar

En gros, SI quelqu’un a eu accès à ses données, la seule chose exploitable en l’état est une liste d’email ?

Ho bah ça va, on a vu largement pire …

votre avatar







JR_Ewing a écrit :



Quand je vous disais que c’était des branquignols chez Mozilla… <img data-src=" />







On ne pourra pas leur reprocher leur manque de transparence en attendant <img data-src=" />


votre avatar

Ils se vantent de partout qu’ils font les meilleurs produits webs au monde, qu’ils sont meilleurs que Microsoft et voilà le résultat !

Chez Microsoft ça n’arrive pas !

votre avatar







linconnu a écrit :



Ils se vantent de partout qu’ils font les meilleurs produits webs au monde, qu’ils sont meilleurs que Microsoft et voilà le résultat !

Chez Microsoft ça n’arrive pas !







Trop gros, passera pas <img data-src=" />


Mozilla Developer Network : jusqu’à 76 000 adresses emails exposées

  • 76 000 adresses email et 4 000 hashs de mots de passe

  • L'éternel souci de la réutilisation des mots de passe 

Fermer