Falha em rede da Mozilla expõe milhares de e-mails e senhas

O problema foi descoberto há dez dias, quando um desenvolvedor da própria companhia descobriu que um processo de limpeza de dados estava falhando

São Paulo – Cerca de 4 mil senhas criptografadas e 76 mil e-mails de usuários ficaram expostos por um mês após uma falha no banco de dados da Rede de Desenvolvedores da Mozilla, a MDN.

A notícia foi confirmada pela empresa em um post no próprio blog de segurança, no qual ainda informa que a brecha ficou aberta por 30 dias a partir de 23 de junho.

Segundo o texto, o problema foi descoberto há dez dias, quando um desenvolvedor da própria companhia descobriu que um processo de limpeza de dados estava falhando.

Esse erro fez com que as informações acabassem expostas em um servidor público, o que logo foi corrigido.

De acordo com o texto, assinado por dois representantes da Mozilla, nenhuma atividade maliciosa foi detectada no servidor, “mas não temos como garantir que não houve nenhum acesso do tipo”.

Ou seja, ainda é possível – e até provável – que esses e-mails e senhas cifradas tenham parado nas mãos de spammers e outros eventuais mal-intencionados.

Apesar de a notícia não ser animadora, o fato de a empresa não armazenar as combinações em plain text (como fazia a Cupid Media) torna as coisas um pouco menos graves.

As senhas vazadas no caso da Mozilla eram “salted hashes”, que são as tradicionais hashes – sequências embaralhadas representando as palavras-chaves – complementadas com dados aleatórios.

Assim, a tarefa de quem for tentar decifrá-las fica ainda mais complicada.

Para evitar quaisquer problemas, a companhia alterou o salt dessas combinações de forma a impedir que as contas fossem acessadas pelas velhas senhas.

Também por isso, a empresa notificou os desenvolvedores afetados, pedindo para que trocassem as próprias palavras-chave da MDN.

E como prevenção, no caso de quem também teve o e-mail vazado, a mudança deve se estender inclusive às similares usadas em outros serviços.

Como lembrou o blog NakedSecurity, esta não é a primeira vez que a Mozilla deixa dados de seus usuários expostos. Em 2010, mais de 40 mil contas da loja de add-ons do Firefox tiveram informações divulgadas na internet.