Kliknąłeś w wilka brawo !

Na blogu Bugzilli pojawiła się informacja o wprowadzeniu dodatkowych zabezpieczeń polegających na wymaganiu od części użytkowników dwustopniowej weryfikacji. Niestety, nowa metoda logowania się nie jest przejawem prewencji, a raczej próbą zapobiegania eskalacji już powstałego problemu. Wszystko wskazuje bowiem na to, że od 2013 roku Bugzilla była wykorzystywana przez hakerów do zbierania informacji o podatności oprogramowania na ataki.

Jak wiadomo, Bugzilla od lat jest powszechnie stosowanym narzędziem pozwalającym na zgłaszanie błędów w oprogramowaniu, także tych, które stanowią o podatności na atak. Jest między innymi wykorzystywana w przypadku Firefoksa, jądra Linuksa, linuksowych środowisk graficznych czy pakietu biurowego LibreOffice. Z komunikatu opublikowanego przez szefa zespołu ds. bezpieczeństwa w Mozilli, Richarda Barnesa, wynika, że hakerzy znaleźli dla Bugzilli inne zastosowanie – jako źródło informacji o sposobach ataku na użytkowników Firefoksa.

Za taki stan rzeczy trudno jednak obwiniać wyłącznie Mozillę. Sama platforma zgłaszania błędów nie była bowiem podatna na włamania, a dostęp do niej był możliwy dzięki atakom na inne serwisy. Z nich uzyskano dane logowania uprzywilejowanych użytkowników, którzy mieli dostęp do informacji o exploitach zero-day. Hakerzy logowali się do ich kont na Bugzilli po prostu korzystając z tego samego hasła. Wyciekłe dane obejmowały 185 błędów, z których. 53 dotyczyły dziur, które zostały oznaczone jako wysokiego priorytetu lub krytyczne. Zostały one załatane w aktualizacji Firefoksa z 27 sierpnia tego roku.

Nie zostały opublikowane informacje o ewentualnych szkodach, jakich przeciętni użytkownicy doświadczyli w związku z przejęciem kont uprzywilejowanych użytkowników Bugzilli. Ci z kolei zostali poproszeni o natychmiastową zmianę haseł, wymagana w przypadku ich kont będzie także wspomniana dwuetapowa weryfikacja. Mozilla zapowiada także, że posiada informacje, które pozwalają na zaangażowanie w sprawę organów ścigania.