Organização disse que dados não vazaram na web.
Mesmo assim, as contas afetadas foram desativadas.
A Mozilla redigiu uma nota pública informando que foi avisada que uma parte dos seus bancos de dados estava disponível na internet. A organização disse que a única pessoa a obter os dados foi a mesma que avisou a organização pelo programa de recompensa por informações de falhas de segurança. Mesmo assim, usuários do site "addons.mozilla.org", que tiveram suas senhas reveladas pelo incidente, tiveram as contas desativadas e vão receber um e-mail informando o ocorrido.
Assim como o Google, a Mozilla paga pesquisadores por informações a respeito de vulnerabilidades em seus sistemas. O banco de dados teria sido parcialmente publicado por acidente.
Formato MD5
As senhas não estavam disponíveis em formato de “texto simples”, mas sim no formato MD5. O MD5 cria uma sequência de 32 caracteres de letras e números para qualquer valor fornecido. Por exemplo, uma senha de quatro caracteres transforma-se em uma sequência de 32, e uma senha de 200 caracteres também se transformaria em uma de apenas 32. Não é possível reverter o MD5 e obter a senha original, então o sistema de login realiza novamente o MD5 na senha fornecida pelo internauta e compara se o valor de MD5 obtido é o mesmo que está no banco de dados.
O formato MD5 é hoje considerado inseguro devido à existência das chamadas “rainbow tables”, que fornecem valores pré-calculados de MD5. Ou seja, são tabelas que armazenam os valores que formam todos os MD5 possíveis.
Em outras palavras, com o nome do usuário e o MD5, um hacker consegue invadir a conta descobrindo a senha ou outra sequência de caracteres que terá o mesmo valor MD5 e que, portanto, será aceita pelo sistema como se fosse a senha.
Desde abril de 2009, para contas novas e contas que tiveram suas senhas trocadas, a Mozilla não usa mais a segurança em MD5 e sim o SHA-512, que é mais recente e mais seguro.
O recente vazamento de senhas da Gawker foi mais sério que o da Mozilla, porque o banco de dados foi invadido e depois disponibilizado abertamente na internet. Mesmo assim, é o segundo incidente do gênero em menos de um mês.
Mesmo assim, as contas afetadas foram desativadas.
A Mozilla redigiu uma nota pública informando que foi avisada que uma parte dos seus bancos de dados estava disponível na internet. A organização disse que a única pessoa a obter os dados foi a mesma que avisou a organização pelo programa de recompensa por informações de falhas de segurança. Mesmo assim, usuários do site "addons.mozilla.org", que tiveram suas senhas reveladas pelo incidente, tiveram as contas desativadas e vão receber um e-mail informando o ocorrido.
Assim como o Google, a Mozilla paga pesquisadores por informações a respeito de vulnerabilidades em seus sistemas. O banco de dados teria sido parcialmente publicado por acidente.
Formato MD5
As senhas não estavam disponíveis em formato de “texto simples”, mas sim no formato MD5. O MD5 cria uma sequência de 32 caracteres de letras e números para qualquer valor fornecido. Por exemplo, uma senha de quatro caracteres transforma-se em uma sequência de 32, e uma senha de 200 caracteres também se transformaria em uma de apenas 32. Não é possível reverter o MD5 e obter a senha original, então o sistema de login realiza novamente o MD5 na senha fornecida pelo internauta e compara se o valor de MD5 obtido é o mesmo que está no banco de dados.
O formato MD5 é hoje considerado inseguro devido à existência das chamadas “rainbow tables”, que fornecem valores pré-calculados de MD5. Ou seja, são tabelas que armazenam os valores que formam todos os MD5 possíveis.
Em outras palavras, com o nome do usuário e o MD5, um hacker consegue invadir a conta descobrindo a senha ou outra sequência de caracteres que terá o mesmo valor MD5 e que, portanto, será aceita pelo sistema como se fosse a senha.
Desde abril de 2009, para contas novas e contas que tiveram suas senhas trocadas, a Mozilla não usa mais a segurança em MD5 e sim o SHA-512, que é mais recente e mais seguro.
O recente vazamento de senhas da Gawker foi mais sério que o da Mozilla, porque o banco de dados foi invadido e depois disponibilizado abertamente na internet. Mesmo assim, é o segundo incidente do gênero em menos de um mês.
Nenhum comentário:
Postar um comentário
Regras:
Não Flood
Não Xingue
Não Divulgue Outros Blogs
Não Limite palavras
Seja o mais Claro o Possível
Não tenha preguiça
Utilize quantos caracteres forem precisos.