Nhà phát triển của trình duyệt Firefox - Mozilla, vừa qua đã cho biết cơ sở dữ liệu chứa tài khoản và mã băm mật khẩu của người dùng tại trang web addons.mozilla.org đã bị lộ một cách vô tình.
Khoảng 44.000 tài khoản đăng nhập và mật khẩu đã bị tiết lộ. Nhóm bảo mật của Mozilla cũng đã kịp thời liên lạc tới tất cả những tài khoản bị ảnh hưởng thông qua email.
Điểm yếu của MD5
Sophos giải thích về cách mà Mozilla lưu trữ mật khẩu từ 9/4/2009 trở về trước là bằng hàm MD5 - thuật toán với một số điểm yếu cho phép các chuyên gia bảo mật có thể dịch ngược ra mật khẩu ban đầu.
Từ 9/4/2009 về sau, Mozilla sử dụng thuật toán mã hóa an toàn hơn là SHA-512 cho việc lưu trữ mật khẩu.
Hãy cẩn trọng với mật khẩu của bạn
Chris Lyon, giám đốc an ninh cơ sở hạ tầng của Mozilla đã cho biết trong một blog của Mozilla:
17/12 vừa qua, Mozilla đã nhận được thông báo của một nhà nghiên cứu bảo mật về lỗi cơ sở dữ liệu của trang http://addons.mozilla.org trên một máy chủ của hãng. Nhà nghiên cứu bảo mật đã gửi báo cáo thông qua một chương trình tiền thưởng trên trang web.
Chúng tôi kiểm soát được các lần tải về cơ sở dữ liệu này. Vấn đề này chỉ tạo ra nguy cơ tối thiểu cho người sử dụng, tuy nhiên để mọi người đề phòng hơn chúng tôi thấy cần thiết phải công bố vấn đề này.
Cơ sở dữ liệu này bao gồm 44.000 tài khoản không hoạt động, sử dụng thuật toán mã hóa cho mật khẩu dựa trên MD5. Chúng tôi đã thiết lập lại tất cả mật khẩu. Hiện tại mã hóa SHA-512 đã được sử dụng cho tất cả người dùng.
Mozilla cho biết ngoại trừ nhóm bảo mật đã thông báo lỗi này và nhân viên của Mozilla, chưa có ai khác tải dữ liệu này. Tuy nhiên, thay đổi mật khẩu vẫn là một lựa chọn cần thiết nếu bạn là một trong số 44.000 người nhận được email từ Mozilla Security.
Theo Techradar
Bình luận
Không biết trong CSDL của Mozilla có mã hóa cùng với kỹ thuật salt hay không. Cũng có thể là họ chỉ mã hóa MD5 đơn thuần.