44.000 contraseñas de usuarios Firefox filtradas en Internet

Mozilla ha confirmado que de manera accidental una base de datos de usuarios parcial con cuentas de usuario fue hospedada en un servidor público de la compañía. Esta brecha de seguridad fue solucionada por Mozilla el 17 de diciembre, cuando fue notificada por un investigador de seguridad sobre el hecho.

La base de datos contenía 44.000 cuentas inactivas de usuarios de addons.mozilla.org con sus contraseñas en hash usando MD5. Este problema sólo afectó a cuentas creadas antes del 9 de abril de 2009 ya que desde entonces Mozilla pasó a utilizar hash SHA-512 con salts por usuario para proteger los datos.

Chris Lyon, Director de Infraestructura de Mozilla, ha comentado recientemente el caso y ha confirmado que los usuarios afectados han sido avisados por email. También ha dejado claro que no afecta a usuarios o cuentas recientes/activos, ya que sólo están en la lista cuentas inactivas y creadas antes de abril de 2009.

Adicionalmente ha comentado que no hay ningún impacto en la infraestructura de Mozilla.