Хакеры нацелились на пользователей Firefox, украдая конфиденциальные данные безопасности из Mozilla

Система отслеживания ошибок Mozilla стала целью хакеров для атаки на пользователей Firefox

Фонд Mozilla подтвердил в пятницу, что его система отслеживания ошибок «Bugzilla» была нацелена хакером через уязвимость браузера, который затем смог украсть информацию о неустраненных уязвимостях нулевого дня.

Предполагается, что хакеры могли знать о неустраненных уязвимостях нулевого дня в веб-браузере Firefox в течение года или более. По словам Mozilla, злоумышленник смог получить доступ к учетной записи пользователя, имевшего привилегированный доступ к Bugzilla, включая информацию о не публичных уязвимостях нулевого дня.

«Существуют некоторые признаки того, что злоумышленник мог иметь доступ с сентября 2013 года», - добавил некоммерческий фонд в разделе часто задаваемых вопросов [PDF] о нарушении безопасности. Это означает, что до того, как уязвимости были устранены, у хакеров было достаточно времени, чтобы в полной мере воспользоваться и извлечь выгоду из программной ошибки.

По данным FAQ, хакер получил доступ к примерно 185 секретным уязвимостям, которые не были публичными. Из этих уязвимостей Mozilla считала 53 «серьезными» уязвимостями. Говорят, что самые старые уязвимости не были устранены в течение 335 дней или более, что означает, что у хакеров было более 11 месяцев, чтобы использовать уязвимости до того, как они были исправлены разработчиками Mozilla.

На момент взлома 43 из серьезных уязвимостей уже были устранены в браузере Firefox, утверждает Mozilla. Однако риск для Firefox заключается в оставшихся 10 уязвимостях, к которым хакер имел доступ до их исправления.

По поводу нарушения безопасности Mozilla заявила в разделе часто задаваемых вопросов: «Одна из уязвимостей [была открыта] менее чем за 36 дней и использовалась для атаки с использованием уязвимости, которая была устранена 6 августа 2015 года. Кроме этой атаки, однако, у нас нет данных, указывающих на то, что другие уязвимости были использованы».

Единственная уязвимость, которую хакер полностью использовал и извлек из нее выгоду, заключалась в сборе личных данных с российского новостного сайта, посещаемого пользователями Firefox.

Однако интересной частью нарушения безопасности Bugzilla от Mozilla было то, что хакеру не нужно было знать о какой-либо уязвимости нулевого дня, чтобы скомпрометировать Bugzilla, и все же хакер смог узнать о новых уязвимостях нулевого дня в Firefox.

«Информация, обнаруженная в ходе нашего расследования, предполагает, что пользователь повторно использовал свой пароль Bugzilla на другом сайте, и пароль был раскрыт в результате утечки данных на этом сайте», - заявила FAQ Mozilla.

Это означает, что, похоже, у кого-то был пароль, который не должен был иметь доступ, или, возможно, он был слабым, или, возможно, повторно использован на другом скомпрометированном сайте. В целом, повторное использование паролей является огромной проблемой, и именно поэтому как Google, так и Facebook, стремясь защитить своих пользователей от утечек, регулярно проверяют утечки паролей.

Руководитель безопасности Firefox Ричард Барнс подробно описал, что Mozilla делает для улучшения безопасности Bugzilla в блоге в пятницу.

«Мы обновляем практики безопасности Bugzilla, чтобы снизить риск будущих атак такого типа. В качестве немедленного первого шага все пользователи с доступом к информации, чувствительной к безопасности, были обязаны изменить свои пароли и использовать двухфакторную аутентификацию».

Добавив далее, Барнс сказал, что также вводятся новые ограничения на то, к чему каждый уровень привилегированного пользователя может получить доступ, чтобы в случае компрометации учетной записи в будущем хакер не смог получить доступ к такому количеству данных.

«Мы уведомили соответствующие правоохранительные органы об этом инциденте и можем предпринять дополнительные шаги на основе результатов любых дальнейших расследований», - сказал Барнс.

Это становится неожиданностью, почему ранее Mozilla не соблюдала двухфакторную аутентификацию для своей чувствительной информации, так как без нее все, что хакеру нужно было для получения доступа, - это один набор учетных данных.

Последняя версия Firefox, выпущенная на прошлой неделе, устранила любые проблемы, которые могли быть доступны хакеру в прошлом. Это является хорошей новостью для пользователей Firefox, и надеемся, что теперь Mozilla будет более серьезно относиться к своей безопасности, чем когда-либо прежде.