Hackers visam usuários do Firefox ao roubar dados de segurança sensíveis da Mozilla

O sistema de rastreamento de bugs da Mozilla foi alvo de hackers para atacar usuários do Firefox

A Fundação Mozilla confirmou na sexta-feira que seu sistema de rastreamento de bugs ‘Bugzilla’ foi alvo de um hacker por meio de uma exploração de navegador, que conseguiu roubar informações sobre bugs zero-day não corrigidos.

Acredita-se que os hackers possam ter conhecido os bugs zero-day não corrigidos no navegador Firefox há um ano ou mais. De acordo com a Mozilla, o atacante conseguiu invadir a conta de um usuário que tinha acesso privilegiado ao Bugzilla, incluindo informações sobre falhas zero-day não públicas.

“Há algumas indicações de que o atacante pode ter tido acesso desde setembro de 2013”, acrescentou a organização sem fins lucrativos em uma FAQ [PDF] sobre a violação de segurança. Isso significa que, antes que as falhas fossem corrigidas, os hackers tiveram tempo suficiente para tirar pleno proveito e se beneficiar da falha de software.

O hacker teve acesso a aproximadamente 185 bugs secretos que eram não públicos, de acordo com a FAQ. Desses bugs, a Mozilla considerou 53 como vulnerabilidades “severas”. Diz-se que os bugs mais antigos não foram corrigidos até 335 dias ou mais, o que significa que os hackers tiveram mais de 11 meses para explorar as vulnerabilidades antes que fossem corrigidas pelos desenvolvedores da Mozilla.

Na época em que o hacker invadiu, 43 das falhas severas já haviam sido corrigidas no navegador Firefox, afirma a Mozilla. No entanto, o risco para o Firefox reside nos 10 bugs restantes aos quais o hacker teve acesso antes de serem corrigidos.

Sobre a violação, a Mozilla declarou em uma FAQ: “Um dos bugs [abertos] há menos de 36 dias foi usado para um ataque usando uma vulnerabilidade que foi corrigida em 6 de agosto de 2015. Além desse ataque, no entanto, não temos dados indicando que outros bugs foram explorados.”

O único bug que o hacker utilizou plenamente e se beneficiou foi para coletar dados privados de um site de notícias russo visitado por usuários do Firefox.

No entanto, a parte interessante da violação do Bugzilla da Mozilla foi que não exigiu que o hacker soubesse sobre qualquer falha zero-day para comprometer o Bugzilla e ainda assim o hacker conseguiu aprender sobre novas falhas zero-day do Firefox.

“As informações descobertas em nossa investigação sugerem que o usuário reutilizou sua senha do Bugzilla em outro site, e a senha foi revelada por meio de uma violação de dados nesse site”, afirmou a FAQ da Mozilla.

Isso significa que parece que alguém tinha uma senha que não deveria ter acesso ou talvez uma senha fraca, ou possivelmente reutilizada em outro site comprometido. No geral, a reutilização de senhas é um grande problema, razão pela qual tanto o Google quanto o Facebook, em um esforço para proteger seus usuários de violações, analisam regularmente vazamentos de senhas.

O líder de segurança do Firefox, Richard Barnes, escreveu em detalhes sobre o que a Mozilla está fazendo para melhorar a segurança do Bugzilla em um post no blog na sexta-feira.

“Estamos atualizando as práticas de segurança do Bugzilla para reduzir o risco de futuros ataques desse tipo. Como um primeiro passo imediato, todos os usuários com acesso a informações sensíveis à segurança foram obrigados a mudar suas senhas e usar autenticação de dois fatores.”

Adicionando mais, Barnes disse que também estão sendo impostos novos limites sobre o que cada nível de usuário privilegiado pode acessar, para que, se uma conta for comprometida no futuro, o hacker não consiga acessar tantos dados.

“Notificamos as autoridades policiais relevantes sobre este incidente e podemos tomar medidas adicionais com base nos resultados de quaisquer investigações adicionais”, disse Barnes.

É surpreendente por que anteriormente a Mozilla não cumpriu com a autenticação de dois fatores para suas informações sensíveis, pois sem ela, tudo o que o hacker precisava para ganhar acesso era um conjunto de credenciais.

A versão mais recente do Firefox lançada na semana passada corrigiu quaisquer problemas que poderiam ter sido acessados pelo hacker no passado. Isso é uma boa notícia para os usuários do Firefox e espera-se que a Mozilla agora leve sua própria segurança mais a sério do que nunca.