Se pare ca un hacker a avut acces la un cont privilegiat de pe Mozilla Bugzilla Bug Tracker pentru cel putin un an de zile, si a accesat date confidentiale referitoare la 185 de bug-uri private, inainte de a fi descoperit.
Potrivit Mozilla, atacatorul a descarcat informatii cu privire la vulnerabilitatile care afecteaza Firefox si alte produse Mozilla, dupa ce a obtinut datele de logare ale unui utilizator privilegiat Bugzilla.
Logurile au aratat ca intrusul a avut acces din septembrie 2014, dar exista unele indicii cum ca ar fi avut acces chiar din septembrie 2013.
Mozilla a declarat ca atacatorul a accesat informatii referitoare la 185 de bug-uri private, dintre care 110 nu erau legate de securitate. Din restul de 75 ramase, 22 au fost clasificate ca fiind de severitate mica sau moderata, in timp ce alte 53 au fost apreciate ca fiind de severitate mare sau critica.
Din fericire, 43 dintre vulnerabilitatile mari sau critice au fost eliminate inainte ca atacatorul sa afle despre ele. Pe de alta parte, este posibil ca celelalte zece vulnerabilitati de securitate ramase sa fi fost folosite in atacuri impotriva utilizatorilor de Firefox, deoarece au primit patch la cateva zile, saptamani sau chiar luni de cand atacatorul a aflat de existenta lor. Cea mai lunga perioada de exploit a unei vulnerabilitati a fost de 335 de zile, a declarat Mozilla.
Cele doua vulnerabilitati eliminate de Mozilla din Firefox 40.0.3 – lansat pe 27 august – au fost ultimele pe care atacatorul le-ar fi putut exploata impotriva utilizatorilor de Firefox.
Contul Bugzilla compromis a fost inchis imediat dupa ce a fost descoperit si echipa de securitate Mozilla a lansat o investigatie pentru a determina impactul acestui incident. De asemenea, a fost deschisa si o ancheta de catre o firma de securitate externa angajata de Mozilla.
Sursa foto