Gli hacker prendono di mira gli utenti di Firefox rubando dati di sicurezza sensibili da Mozilla

Il sistema di tracciamento dei bug di Mozilla preso di mira dagli hacker per attaccare gli utenti di Firefox

La Mozilla Foundation ha confermato venerdì che il suo sistema di tracciamento dei bug ‘Bugzilla’ è stato preso di mira da un hacker tramite un exploit del browser, che è riuscito a rubare informazioni su bug zero-day non corretti.

Si ipotizza che gli hacker potessero essere a conoscenza dei bug zero-day non corretti nel browser web Firefox da un anno o più. Secondo Mozilla, l’attaccante è riuscito a violare l’account di un utente che aveva accesso privilegiato a Bugzilla, comprese le informazioni sui difetti zero-day non pubbliche.

“Ci sono alcune indicazioni che l’attaccante potrebbe aver avuto accesso da settembre 2013,” ha aggiunto l’organizzazione no-profit in un FAQ [PDF] riguardo alla violazione della sicurezza. Questo significa che prima che le vulnerabilità fossero corrette, gli hacker avevano abbastanza tempo per sfruttare appieno e trarre vantaggio dal difetto software.

L’hacker aveva ottenuto accesso a circa 185 bug segreti che non erano pubblici, secondo l’FAQ. Di questi bug, Mozilla ha considerato 53 come vulnerabilità “gravi”. Si dice che i bug più vecchi non siano stati corretti fino a 335 giorni o più, il che significa che gli hacker hanno avuto più di 11 mesi per sfruttare le vulnerabilità prima che fossero risolte dagli sviluppatori di Mozilla.

Al momento in cui l’hacker è entrato, 43 delle gravi vulnerabilità erano già state corrette nel browser Firefox, afferma Mozilla. Tuttavia, il rischio per Firefox risiede nei rimanenti 10 bug a cui l’hacker aveva accesso prima che fossero corretti.

Sulla violazione, Mozilla ha dichiarato in un FAQ “Uno dei bug [aperti] meno di 36 giorni è stato utilizzato per un attacco utilizzando una vulnerabilità che è stata corretta il 6 agosto 2015. A parte quell’attacco, tuttavia, non abbiamo dati che indicano che altri bug siano stati sfruttati.”

L’unico bug di cui l’hacker ha fatto pieno uso e da cui ha tratto vantaggio è stato quello di raccogliere dati privati da un sito di notizie russo visitato dagli utenti di Firefox.

Tuttavia, la parte interessante della violazione di Mozilla Bugzilla è stata che non richiedeva all’hacker di conoscere alcun difetto zero-day per compromettere Bugzilla eppure l’hacker è stato in grado di apprendere nuovi difetti zero-day di Firefox.

“Le informazioni scoperte nella nostra indagine suggeriscono che l’utente ha riutilizzato la propria password di Bugzilla con un altro sito web, e la password è stata rivelata attraverso una violazione dei dati in quel sito,” ha dichiarato l’FAQ di Mozilla.

Ciò significa che sembra che qualcuno avesse una password che non avrebbe dovuto avere accesso o forse una debole, o possibilmente riutilizzata su un altro sito web compromesso. In generale, il riutilizzo delle password è un grande problema, motivo per cui sia Google che Facebook, nel tentativo di proteggere i propri utenti dalle violazioni, esaminano regolarmente i dump delle password.

Il responsabile della sicurezza di Firefox, Richard Barnes, ha scritto in dettaglio su cosa sta facendo Mozilla per migliorare la sicurezza di Bugzilla in un post sul blog di venerdì.

“Stiamo aggiornando le pratiche di sicurezza di Bugzilla per ridurre il rischio di futuri attacchi di questo tipo. Come primo passo immediato, tutti gli utenti con accesso a informazioni sensibili per la sicurezza sono stati obbligati a cambiare le proprie password e a utilizzare l’autenticazione a due fattori.”

Aggiungendo ulteriormente, Barnes ha detto che ci sono anche nuovi limiti su cosa ogni livello di utente privilegiato può accedere, in modo che se un account viene compromesso in futuro, l’hacker non possa accedere a così tanti dati.

“Abbiamo informato le autorità di polizia competenti riguardo a questo incidente e potremmo prendere ulteriori provvedimenti in base ai risultati di ulteriori indagini,” ha detto Barnes.

È sorprendente perché in precedenza Mozilla non avesse rispettato l’autenticazione a due fattori per le proprie informazioni sensibili, poiché senza di essa, tutto ciò di cui l’hacker aveva bisogno per ottenere accesso era un insieme di credenziali.

L’ultima versione di Firefox rilasciata la scorsa settimana ha risolto eventuali problemi che potrebbero essere stati accessibili dall’hacker in passato. Questo è una buona notizia per gli utenti di Firefox e si spera che Mozilla ora prenda più seriamente la propria sicurezza che mai.