F.Manuel
Un fallo en los servidores de Mozilla ha dejado expuestas direcciones de correo electrónico y contraseñas cifradas de miles de desarrolladores MDN (Mozilla Developer Network). La exposición de dicha información comenzó el 23 de junio y ha durado 30 días, hasta que un miembro del equipo descubrió el asunto.
Mozilla no tiene constancia de que el problema haya sido aprovechado por ningún hacker, y de haber sido así, la información obtenida no sirve para conexiones fraudulentas a las cuentas MDN, porque las contraseñas están cifradas. De las cuentas que tiene la red MDN, han quedado expuestas 76.000 direcciones de correo electrónico y 4.000 contraseñas cifradas, según la información proporcionada por Mozilla.
El problema para los usuarios expuestos es que hayan empleado la misma contraseña para otros sitios y servicios web. Mozilla se ha puesto en contacto con los afectados para que modifiquen sus contraseñas lo antes posible, además de investigar el fallo y estudiar la fórmula para que no vuelva a ocurrir. También han pedido perdón.
Nos caracterizamos por nuestro compromiso con la privacidad y la seguridad, y estamos lamentamos cualquier inconveniente o inquietud que este incidente pueda causar.
Vía | Mozilla Security Blog
Ver 5 comentarios
5 comentarios
iberhack
Eso de que no hay problema porque las contraseñas estaban cifradas... pues lo normal es almacenarlas así, incluso en los UNIX desde hace 20 años ya las de los usuarios se almacenaban así... Y aun así, eso solo protege parcialmente. Lo normal es usar MD5 (en otra época DES)... Y digamos que el 90% de ellas podrás saberse que cual era el pass... debido a que aunque es unidireccional ese algoritmo, pues hay grandes bases de datos con equivalencias de equivalencias, después están las colisiones (2 mensajes distintos o más dan el mismo resultado, algo más fácil de lo que parece cuando MD5 es de longitud fija -128bits, que son 32 caracteres hexadecimales- con lo que en teoría hay mucho donde buscar, pero en la práctica el algoritmo no es perfecto y se sabe hace 12 años), después hay otro algoritmo que no inversamente, pero si reduce las posibilidades a una cantidad de pruebas vía fuerza bruta si prácticable... hasta hay servicios web como: http://www.md5online.es/
en donde metes el valor cifrado y hay un porcentaje muy elevado de posibilidades de encontrar una equivalencia (realmente es una forma pública de probar lo primero que se comento). Y no es el único, sino que hay bastantes, algunos ya con billones de equivalencias en sus bases de datos (el mencionado lo puse porque está en Español, pero no llega a tanto como otros).
Por tanto si hay un problema, ahora bien, hay formas de complicar la obtención de la verdadera clave en público, como la mencionada por Jarfil (siempre que no se conozca) y supuestamente si se usan valores distintos en cada sitio, pues aunque tengas mensaje que de esa cifra, pues no te sirve para otros sitios... el problema es ni siempre se usa y después que eso no protege que vuelvan a entrar en esa cuenta de MDN, etc... y otro temas aparte, como que es medio posible recuperar la Sal si tienes suficientes contraseñas (por lo comentado de que si es MD4 y algún algoritmos SHA, pues se reducir la búsqueda muchísimo), aunque en teoría 2 mensajes prácticamente idénticos den valores de cifrado totalmente distintos (que es en eso en lo que se basa la seguridad realmente).
A pesar de lo anterior, este tipo de "problemillas" pues son más abundantes de lo que parecen y casi nunca pasa nada porque después necesitas a un criptoanalista muy competente (si no lo son ellos), para que te haga parte del trabajo.
salu2
Jarfil
"salted hashes"
Esto es lo que se llama una no-noticia.