T.S. |
旗下擁有 Firefox 瀏覽器的 Mozilla 公司表示,估計約有 44,000 個無效用戶的帳號資料被放到公眾伺服器上。
Mozilla 公司承認,附加元件開發人員的用戶註冊資料遭人暫時放置在網際網路上。
資訊安全研究人員在 2010 年 12 月 17 日留意到,Mozilla 有部分用戶資料庫居然被留存在公眾伺服器上,其中還包含用戶帳號資料。 Mozilla 基金會稍後統計出每個遭下載的資料庫,並強調這起用戶資料曝光事件對帳戶擁有者不會產生太大的風險。
Mozilla 基金會基礎建設安全負責人 Chris Lyon 於週一 (12/27) 時在部落中提到,這次的曝光對用戶所造成的安全威脅,其實已經降至最低;然而,做為預防措施,該公司認為,身為出錯的一方,還是應該要就這起事件通知會受到影響的人士。
在這個資料庫中,包含了 44,000 個採用較舊密碼技術的無效帳戶,Mizilla 刪除了這些密碼,並且也把帳號取消。所有現存有效使用者帳戶,均自 2009 年 4 月 9 日起,改為採用更加複雜的密碼技術。 Mozilla 表示,在這起事件中,現存附加元件開發人員帳號均未曝露於風險中。至於舊有帳號人員,則已透過電子郵件告知此一安全漏洞。
可以在 Firefox 瀏覽器上使用附加元件功能,對許多用戶來說,是十分有用的關鍵機制;但這樣的附加元件,有其自身的安全問題。在 2010 年 7 月,Mozilla 便曾移除一個能夠攔截登入資料並轉送至第三方網站的附加元件「Sniffer」。
此外,同樣在 7 月份左右,也從 Mozilla 網站 addons.mozilla.org 上移除了另外兩個被發現包含惡意程式的附加元件。這兩個應用程式,Sothink Web Video Downloade 和 MasterFlier,會在使用者電腦中安裝木馬程式;而一旦安裝之後,便只能透過防毒軟體來移除該惡意程式。
Mozilla 已重新修改其編碼審查政策,以預防再有附加元件中暗藏惡意程式的情況出現。 Mozilla 基金會要求,所有附加元件在公開放上 Mozilla 網站之前,都必須先通過此一編碼審查政策。