Bugzilla gehackt - Sicherheitskritische Daten wurden entwendet

rugk

Android 2.0 Éclair
Beiträge
1.013
Ort
Deutschland
Angriff an der schwächsten Stelle
Auch Mozilla ist nicht sicher vor Hacking: Der Bug-Tracker Bugzilla, der für fast alle Mozilla-Projekte - also auch Firefox, Thunderbird und co - eingesetzt wurde, wurde gehackt. Dafür wurde an der schwächsten Stelle angegriffen - dem Mensch.
Ein privilegierter Bugzilla-Nutzer hatte sein bei Bugzilla genutzes Passwort auf einer anderen Seite wiederverwendet. Diese unsichere Praxis wurde ihm zum Verhängnis, als diese andere Seite - welche von Mozilla nicht genauer benannt wird - gehackt wurde und die Passwörter offensichtlich geknackt wurden.
Für Mozilla hatte dies jedoch weitreichende Konsequenzen. Denn der Angreifer hatte mindestens seit September 2014 Zugriff auf geheime Bugzilla-Tickets, welche u.a. Sicherheitslücken betreffen. Dabei hat er insgesamt 185 solcher Bugs angeschaut, von denen allerdings nur 75 sicherheitsrelevant waren.
Einige davon waren zum Zeitpunkt des Angriffen bereits in den veröffentlichten Firefox-Versionen gefixt, sodass nur 10 Bugs effektiv ausgenutzt werden konnten. Bei einem war dies auch nachweisbar der Fall: Die in Firefox 39.0.3 behobene Sicherheitslücke im PDF-Viewer.
Allgemein sollen alle Sicherheitslücken, die der Angreifer sehen konnte, in Version 39.0.3 von Firefox geschlossen sein. Nutzer, die eine ältere Version nutzen, sollten also dringend updaten.

Mozilla zieht Konsequenzen
Dieser Angriff zeigt einmal mehr, wie wichtig es ist die gängigen Passwort-Regeln einzuhalten und Passwörter möglichst einmalig und komplex zu halten.
Mozilla hat nach Bekanntwerden des Angriffes das gehackte Konto natürlich sofort deaktiviert. Außerdem wurden alle Passwörter für privilegierte Bugzilla-Nutzer zurückgesetzt und die Anzahl der Nutzer, die privilegierten Zugriff hatten verkleinert. Außerdem sollen auch die Rechte von privilegierten Benutzern beschränkt werden und mehr Sicherheitsaudits durchgeführt werden.
Als letzte Maßnahme sind ab sofort alle privilegierten Bugzilla-Nutzer gezwungen Zwei-Faktor-Authentifizierung zu nutzen.

Quelle: Improving Security for Bugzilla, FAQ
 
Oben