האקרים ריגלו אחרי מוזילה יותר וקיבלו גישה לעשרות פרצות

קרן מוזילה, ארגון ללא מטרות רווח האחראי על פיתוח הדפדפן פיירפוקס, פרסמה ביום שישי הודאה כי חשבון עם הרשאות בתוכנת ניהול מעקב הבאגים של פיירפוקס (Bugzilla) נפרץ בספטמבר 2014. קבלת גישה לחשבון מעניקה מבט לפרטים חסויים אודות באגים בנושאי אבטחה בפיירפוקס עליהם עבדו מתכנים. כמובן, שפרטים אלה מאפשרים גישה מהירה להאקרים כדי לנצל את הבאגים האלה לצרכי פריצה ומעקב.

המשמעות של הפרסום היא שבעוד הבאגים היו חסויים מפני הציבור הרחב, האקרים ניצלו אותם במשך כמעט שנה, זמן ארוך כדי לנצל לטובתם את המצב. ההערכות של הקרן היא ש- 185 באגים דלפו, מתוכם 53 מסווגים כפרצות חמורות. הדליפה החמורה ביותר היא של באג שתיקונו ארך 11 חודשים, והעניק זמן "חופשי" להאקרים בניצולו. 10 באגים לא תוקנו בתקופה בה המערכת הייתה פרוצה, אך במוזילה מוסרים כי בגרסא האחרונה של פיירפוקס כל הפרצות תוקנו.

"אותה רוח של פתיחות בה אנו מדווחים על הפירצה היום, היא זו שאפשרה למישהו לגנוב מידע אבטחת מידע רגיש מ- Bugzilla. אנו מאמינים כי הם השתמשו במידע כדי לתקוף משתמשי פיירפוקס. מוזילה ערכה חקירה לגבי הגישה הבלתי מורשית, ונקטנו מספר פעולות כדי להתמודד עם האיום המיידי. אנו גם מבצעים שיפורים ב- Bugzilla כדי להבטיח את ההגנה על המוצרים שלנו, על קהילת המפתחים והמשתמשים.

הסימנים מראים כי הפריצה לשירות תיקון הבאגים נעשה בעקבות דליפת סיסמא לגורמים זרים, אם בגלל שימוש בסיסמא חלשה או פשוט שימוש דליפה ממקור אחר. כתוצאה מכך, מעתה כל המשתמשים במערכת עוברים לשימוש באימות בשתי רמות.