jeudi 6 août 2020
Promotion Meilleur VPN 2020
Accueil Authentification Mozilla publie accidentellement les identifiants et mots de passe de ses membres

Mozilla publie accidentellement les identifiants et mots de passe de ses membres

Lundi, Mozilla, le développeur populaire d’applications Open Source comme Firefox et Thunderbird, a annoncé qu’une base de données contenant des noms d’utilisateur et mots de passe hachés appartenant aux utilisateurs du site addons.mozilla.org avait été publié publiquement par accident.

Si vous êtes inscrit et donc que vous possédez un compte sur addons.mozilla.org, vous êtes l’un des 44.000 utilisateurs qui pourraient avoir été touchés par cette divulgation accidentelle, vous devriez déjà avoir reçu un avis par courriel de l’équipe de sécurité de Mozilla.

Est-ce tout simplement une autre histoire de fuite de données dans une mer de noms d’utilisateurs et mots de passe perdus ? Pas exactement. Les mots de passe stockés par Mozilla avant le 9 avril 2009 utilisent le hachage MD5. Or, MD5 a des faiblesses cryptographiques qui permettent la création de la même empreinte à partir de chaînes multiples. Ceci permet à des experts en sécurité de calculer tous les hashs possibles et de déterminer votre mot de passe (attaque par collision). Mozilla ne stocke pas les mots de passe en texte clair.

Les bonnes nouvelles ? Mozilla a vérifié son journal de bord et a déterminé que la seule personne en dehors de Mozilla qui ont consulté le contenu a été la personne qui a divulgué la publication accidentellement à travers leur programme web. Mozilla a supprimé les mots de passe de tous les 44.000 comptes à partir du site gérant les addons indépendamment du fait qu’ils ont été exposés ou non.

Les nouveaux mots de passe créés ne seront pas vulnérables à un accident similaire. Depuis le 9 avril 2009, Mozilla a utilisé SHA-512 avec des salts pour stocker les mots de passe des utilisateurs. Cet algorithme de hachage permet une amélioration significative en matière de sécurité pour les titulaires de compte addons.mozilla.org.

Si vous étiez l’un des destinataires malheureux de l’un de ces e-mails, assurez-vous que vous n’utilisez pas le même mot de passe que Mozilla sur d’autres sites. Alors que Mozilla est persuadé que personne d’autre que la personne qui a signalé l’incident a eu accès au dossier, si les informatins sont mauvaises ou que le divulgateur n’est pas digne de confiance, vos autres comptes peuvent être à risque. Rappelez-vous, les mots de passe uniques sont une exigence et non un luxe.

Félicitons Mozilla pour leur réponse rapide à cet incident, même si elle laisse quelques questions que nous devons prendre en considération. Comment ont-ils pu publier des fichiers contenant les noms d’utilisateur et mots de passe hachés accidentellement ? Cette question a été posée à l’équipe de sécurité et celle-ci a renvoyé à un une réponse.

Si vous êtes un administrateur du site web / développeur, vous stockez toujours les mots de passe en utilisant des méthodes comme Gawker (DES) ou Mozilla (MD5) ? Nous savons qu’ils sont dépassés et il est important de migrer loin de ces algorithmes dans le cas où vous avez une base de données accidentellement publiée en dehors de votre organisation.

Mozilla pris la bonne décision en 2009 de commencer à utiliser un système beaucoup plus sécurisé (SHA-512 avec des salts par utilisateur) aller de l’avant, mais seul le recul pourrait avoir invité l’ensemble de leurs utilisateurs à migrer vers la table de hachage plus sûr avant cet incident.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.

Comment se protéger sur un casino en ligne

En Septembre 2018, un jeune de 17 ans a réussi à pirater un casino et à détourner 250 000 euros en un mois. Voici comment éviter au maximum ce désagrément.