Mozilla informa que accidentalmente expuso información sensible a través de su sitio addons.mozilla.org. Se trataba de una base de datos parcial conteniendo identificación y passwords de usuarios de ese portal de complementos para su navegador.
La información comprometida afecta a 44,000 usuarios. Estos usuarios ya han recibido notificaciones por email (el 27 de Diciembre) del equipo de seguridad de Mozilla. Estas cuentas ya han sido deshabilitadas.
La brecha de seguridad sucedió el 17 de Diciembre y fue detectada y notificada por un tercero a través de su programa Bug Bounty.
Las claves expuestas estaban encriptadas con el algoritmo md5, el cual ya no se usa actualmente en Mozilla. Las claves actuales se codifican con SHA-512, según se indica en su blog de seguridad.
Mozilla asegura que este incidente no tiene impacto en la integridad de las cuentas de los usuarios ni en la infraestructura en general de la organización.
Aunque se agradece la apertura de Mozilla al informar de este percance, preocupa un poco que estas novedades sigan sucediendo y que, dado que un tercero notificó de la exposición de datos, podemos presumir que hay otras personas que puedan tener en su poder estas combinaciones de usuario y password.
