Как сообщают представители Mozilla, сервис отслеживания ошибок Bugzilla был взломан, в результате чего атакующие получили доступ к сведениям о 185 уязвимостях, закрытых для публичного просмотра. Следы активности злоумышленников были выявлены в августе, но по косвенным признакам наиболее вероятной датой взлома называется сентябрь 2013 года. Таким образом, на протяжении двух лет неустановленные лица контролировали один из привилегированных аккаунтов, имеющий доступ к закрытым обсуждениям, где разбираются неисправленные критические ошибки (баги). Проанализировав возможные последствия взлома, специалисты пришли к выводу, что хакеры могли получить сведения о 53 опасных проблемах, из которых 43 уже были исправлены на момент их просмотра злоумышленниками.
Из 10 открытых уязвимостей две были исправлены менее чем через 7 дней после утечки, пять оставались открыты от 7 до 36 дней и три оставались неисправленными 131, 157 и 335 дней (!). Все имеющиеся проблемы были устранены в недавно вышедших обновлениях Firefox 40.0.3 и 38.2.1. Одна из незакрытых уязвимостей в PDF.js в начале августа была использована злоумышленниками для распространения вирусного ПО через рекламные блоки и сбора персональных данных пользователей.
В качестве причины взлома Bugzilla называется пренебрежение правилами безопасности - владелец одного из аккаунтов использовал общий пароль к учетным записям на разных сайтах, один из которых также был взломан. Для предотвращения подобных инцидентов для всех привилегированных аккаунтов в сервисе инициирован переход к обязательному применению двухфакторной аутентификации.
Дмитрий ЕВДОКИМОВ
Комментарии