Los hackers atacan a los usuarios de Firefox robando datos de seguridad sensibles de Mozilla

El sistema de seguimiento de errores de Mozilla fue atacado por hackers para atacar a los usuarios de Firefox

La Fundación Mozilla confirmó el viernes que su sistema de seguimiento de errores ‘Bugzilla’ fue objetivo de un hacker a través de un exploit del navegador, quien pudo robar información sobre errores de día cero no parcheados.

Se estima que los hackers pueden haber estado al tanto de los errores de día cero no parcheados en el navegador web Firefox durante un año o más. Según Mozilla, el atacante pudo violar la cuenta de un usuario que tenía acceso privilegiado a Bugzilla, incluyendo la información sobre fallos de día cero no públicos.

“Hay algunas indicaciones de que el atacante pudo haber tenido acceso desde septiembre de 2013”, agregó la organización sin fines de lucro en una FAQ [PDF] sobre la violación de seguridad. Esto significa que antes de que los agujeros fueran parcheados, los hackers tuvieron tiempo suficiente para aprovechar y beneficiarse de la falla del software.

El hacker había obtenido acceso a aproximadamente 185 errores secretos que no eran públicos, según la FAQ. De esos errores, Mozilla consideró 53 como vulnerabilidades “severas”. Se dice que los errores más antiguos no fueron parcheados hasta 335 días o más, lo que significa que los hackers tuvieron más de 11 meses para explotar las vulnerabilidades antes de que fueran corregidas por los desarrolladores de Mozilla.

Para cuando el hacker irrumpió, 43 de las fallas severas ya habían sido parcheadas en el navegador Firefox, afirma Mozilla. Sin embargo, el riesgo para Firefox radica en los 10 errores restantes a los que el hacker tuvo acceso antes de que fueran corregidos.

Sobre la violación, Mozilla declaró en una FAQ “Uno de los errores [abiertos] menos de 36 días fue utilizado para un ataque utilizando una vulnerabilidad que fue parcheada el 6 de agosto de 2015. Aparte de ese ataque, sin embargo, no tenemos datos que indiquen que otros errores fueron explotados.”

El único error que el hacker aprovechó completamente y del que se benefició fue para recopilar datos privados de un sitio de noticias ruso visitado por usuarios de Firefox.

Sin embargo, la parte interesante de la violación de Bugzilla de Mozilla fue que no requería que el hacker conociera ninguna falla de día cero para comprometer Bugzilla y aun así el hacker pudo aprender sobre nuevas fallas de día cero de Firefox.

“La información descubierta en nuestra investigación sugiere que el usuario reutilizó su contraseña de Bugzilla con otro sitio web, y la contraseña fue revelada a través de una violación de datos en ese sitio”, declaró la FAQ de Mozilla.

Eso significa que parece que alguien tenía una contraseña que luego no debería haber tenido acceso o tal vez una débil, o posiblemente reutilizada en otro sitio web comprometido. En general, la reutilización de contraseñas es un gran problema, por lo que tanto Google como Facebook, en un esfuerzo por proteger a sus usuarios de violaciones, revisan regularmente los volúmenes de contraseñas.

El líder de seguridad de Firefox, Richard Barnes, escribió en detalle sobre lo que Mozilla está haciendo para mejorar la seguridad de Bugzilla en una publicación de blog el viernes.

“Estamos actualizando las prácticas de seguridad de Bugzilla para reducir el riesgo de futuros ataques de este tipo. Como primer paso inmediato, se ha requerido a todos los usuarios con acceso a información sensible de seguridad que cambien sus contraseñas y utilicen la autenticación de dos factores.”

Agregando más, Barnes dijo que también se están imponiendo nuevos límites sobre lo que cada nivel de usuario privilegiado puede acceder, de modo que si una cuenta se ve comprometida en el futuro, el hacker no podrá acceder a tantos datos.

“Hemos notificado a las autoridades policiales pertinentes sobre este incidente, y podemos tomar medidas adicionales basadas en los resultados de cualquier investigación adicional”, dijo Barnes.

Es sorprendente por qué anteriormente Mozilla no cumplió con la autenticación de dos factores para su información sensible, ya que sin ella, todo lo que el hacker necesitaba para obtener acceso era un conjunto de credenciales.

La última versión de Firefox lanzada la semana pasada ha solucionado cualquier problema que podría haber sido accedido por el hacker en el pasado. Esto es una buena noticia para los usuarios de Firefox y se espera que Mozilla ahora sea más seria sobre su propia seguridad que nunca antes.