Allarme sicurezza su Bugzilla , la piattaforma aperta su cui Mozilla tiene traccia dei bug di Firefox e degli altri progetti software gestiti dalla fondazione: ignoti malintenzionati avrebbero avuto accesso a informazioni riservate per un anno, mettendo a rischio gli utenti del browser del Panda Rosso in almeno un caso.
Stando a quanto comunica la FAQ messa online da Mozilla, l’ignoto cyber-criminale ha sfruttato un account con accesso privilegiato al database di Bugzilla, un account che ha in sostanza potuto leggere informazioni “segrete” su bug e vulnerabilità di sicurezza che i programmatori erano impegnati a chiudere prima di renderne pubblica l’esistenza.
L’accesso non autorizzato, prevedibilmente frutto di una password debole o di un attacco (riuscito) di ingegneria sociale, è apparentemente cominciato dal settembre del 2013 ed è continuato almeno fino a settembre 2014, quando l’account compromesso è stato abbattuto e sono cominciate le indagini da parte del team di sicurezza di Mozilla.
Centinaia (anzi 185) i bug “segreti” visionati dai presunti criminali , 53 dei quali classificati come gravi: di questi ultimi, 10 risultavano ancora non corretti durante l’accesso non autorizzato. È noto almeno un caso, dice ancora Mozilla, di un bug sfruttato per condurre un attacco informatico “in the wild” che è stato poi debellato con la distribuzione della versione 39.0.3 di Firefox .
Non è la prima volta che Bugzilla si trova al centro dell’attenzione per le insicurezze della piattaforma , e nel tentativo di rafforzare le difese contro gli accessi non autorizzati Mozilla ha implementato nuove policy , incluso l’obbligo di adoperare un meccanismo a doppio fattore per l’autenticazione sui server.
Alfonso Maruccia
Ti potrebbe interessare
7 set 2015