Представители фонда Mozilla раскрыли информацию о выявленном взломе сервиса отслеживания ошибок Bugzilla, в результате которого атакующие получили доступ к сведениям о 185 ошибках, закрытых для публичного просмотра. В качестве причины взлома Bugzilla называется пренебрежение правилами безопасности — владелец одного из привилегированных аккаунтов использовал один пароль к учетным записям на разных сайтах, в том числе на одном из сайтов, пользовательская база которого попала в руки злоумышленников в результате взлома. Первый неавторизированный вход зафиксирован в сентябре прошлого года, но имеются косвенные признаки, по которым в качестве наиболее вероятной даты называется сентябрь 2013 г.

Проанализировав возможные последствия взлома, представители Mozilla пришли к выводу, что атаковавшие могли получить сведения о 53 проблемах, описывающих опасные или критические уязвимости, из которых 43 уже были исправлены на момент их просмотра злоумышленниками, но 10 оставались открыты. Все имеющиеся проблемы были устранены в вышедших 27 августа обновлениях Firefox 40.0.3 и 38.2.1. Одна из уязвимостей (в PDF.js), фигурировавших среди неисправленных проблем, была использована злоумышленниками для распространения вредоносного ПО через рекламные блоки.

Представители Mozilla сообщили, что злоумышленники могли эксплуатировать эту уязвимость для получения данных о нераскрытых и неисправленных критических брешах в Firefox в течение года и более. Тогда пользователям Firefox угрожала реклама на российских новостных сайтах. Об одной такой проблеме компания уже рассказывала ранее, в августе 2015 г. Нет признаков того, что какие-либо другие сведения, полученные злоумышленником, были использованы против пользователей Firefox.

Для предотвращения подобных инцидентов в будущем для всех привилегированных аккаунтов в Bugzilla инициирован процесс смены паролей и переход к обязательному применению двухфакторной аутентификации. Сотрудники Mozilla даже внедрили систему доступа к закрытой информации в зависимости от уровня доступа у конкретного пользователя.

Версия для печати (без изображений)