Mozilla a accidentellement exposé les adresses mails et mots de passe chiffrés de 97 000 utilisateurs
qui ont testé les builds de Bugzilla
Les adresses mails et les mots de passe chiffrés de près de 97 000 utilisateurs qui ont testé les récentes builds de Bugzilla ont été exposé pendant trois mois. Dans un billet, la Fondation explique que « l’un de nos développeurs a découvert que, depuis le mai 2014 et sur une période avoisinant les 3 mois, pendant la migration de notre serveur test des builds du logiciel Bugzilla, des fichiers sauvegardes de base de données contenant les adresses mails et les mots de passe chiffrés de près de 97 000 utilisateurs ont été posté sur un serveur accessible au public. Aussitôt que nous en avons été informés, ces fichiers de base de données ont été immédiatement enlevés du serveur et nous avons modifié les processus de tests afin qu’ils n’exigent plus ces sauvegardes de base de données ».
Mozilla estime que puisqu’en général les développeurs qui testent ces builds de Bugzilla leur ont fait comprendre qu’ils comprennent que ces builds sont potentiellement insécurisés, la plupart d’entre eux ont rarement un mot de passe qu’ils utilisent autre part. Cependant, puisqu’il est possible que certains le fassent quand même, l’entreprise a décidé d’informer tous ceux qui sont affectés et leur a recommandé de changer tout mot de passe similaire qu’ils auraient utilisé ailleurs.
Dans un autre billet, Joe Stevensen de l’équipe de sécurité de Mozilla a expliqué que « nous avons débuté un projet plus vaste afin d’améliorer nos pratiques autour des données, y compris celles qui concernent les divers projets qui ne sont pas menés par Mozilla mais que nous soutenons. Nous sommes en train de mettre en œuvre des correctifs pour les problèmes découverts au sein de l'organisation, et exigeons à chacune de nos unités d'effectuer un examen de leurs pratiques en matière de données et, si nécessaire, de mettre en œuvre des protections supplémentaires en se basant sur cet examen. »
L’entreprise précise qu’il est important de souligner que les utilisateurs de bugzilla.mozilla.org ne sont pas affectés par cet incident.
Source : blog Bugzilla, blog Mozilla
Et vous ?
Utilisez-vous Bugzilla ?
Partager