Ältere Nutzerdatenbank von Mozilla war öffentlich einsehbar

Mozilla hat 44.000 Nutzeraccounts für seine Website mit Firefox-Add-ons abgeschaltet. Ein Sicherheitsforscher hatte Teile einer Datenbank mit den Kontendaten auf einem öffentlichz einsehbaren Server gefunden.

Die Passwörter der Datenbank waren mit dem heute nicht mehr genutzten, da allzu schwachen Algorithmus MD5 verschlüsselt. Mozilla setzt seit 9. April 2009 stattdessen das robustere Verfahren SHA-512 ein.

Mozilla glaubt nicht, dass die öffentliche Verfügbarkeit der Nutzerkonten zu irgendwelchen Gefahren geführt hat. „Wir konnten jeden einzelnen Download der Datenbank nachvollziehen. Dieses Problem bedeutet für die Anwender ein geringes Risiko. Als Vorsichtsmaßnahme haben wir jedoch den Fall den Betroffenen gemeldet“, schreibt Chris Lyon, der bei Mozilla als Director für die Sicherheit der Infrastruktur zuständig ist, in einem Blog.

Die Anwender, deren Daten exponiert wurden, haben gestern davon erfahren. „Aktuelle Nutzer von addons.mozilla.org sind keinem Risiko ausgesetzt“, schreibt Lyon.

Die Geheimhaltung von Passwörtern ist zuletzt durch einen Hack der Nachrichtensite Gawker ins Blickfeld des öffentlichen Interesses gerückt. LinkedIn sperrte aufgrund des Vorfalls zahlreiche Nutzerkonten, weil die Gefahr bestand, dass für beide Konten das gleiche Passwort vergeben war. Grundsätzlich können Konto-Informationen für Kriminelle auch dann nützlich sein, wenn das Konto schon gesperrt ist – wenn nämlich der Anwender gleiche oder ähnliche Zugangsdaten auf anderen Sites einsetzt.