Представители проекта Mozilla раскрыли информацию о выявленном взломе сервиса отслеживания ошибок Bugzilla, в результате которого атакующие получили доступ к сведениям о 185 ошибках, закрытых для публичного просмотра. Следы активности злоумышленников были выявлены в августе, но непонятно как давно был совершён взлом. Первый неавторизованный вход зафиксирован в сентябре прошлого года, но имеются косвенные признаки, по которым в качестве наиболее вероятной даты называется сентябрь 2013 года. Всё это время атаковавшие могли контролировать один из привилегированных аккаунтов, имеющий доступ к закрытым обсуждениям, в которых разбираются неисправленные критические уязвимости. Проанализировав возможные последствия взлома, представители Mozilla пришли к выводу, что атаковавшие могли получить сведения о 53 проблемах, описывающих опасные или критические уязвимости, из которых 43 уязвимости уже были исправлены на момент их просмотра злоумышленниками, но 10 проблем оставались открыты. Из 10 открытых проблем 2 были исправлены менее чем через 7 дней после утечки, 5 оставались открыты от 7 до 36 дней, оставшиеся уязвимости оставались неисправленными 131, 157 и 335 дней. Все имеющиеся проблемы были устранены в вышедших 27 августа обновлениях Firefox 40.0.3 и 38.2.1. Одна из уязвимостей (в PDF.js), фигурировавших среди неисправленных в течение 36 дней проблем, в начале августа была использована злоумышленниками для распространения вредоносного ПО через рекламные блоки и сбора персональных данных пользователей. В качестве причины взлома Bugzilla называется пренебрежение правилами безопасности - владелец одного из привилегированных аккаунтов использовал один пароль к учетным записям на разных сайтах, в том числе на одном из сайтов, пользовательская база которого попала в руки злоумышленников в результате взлома. Для предотвращения подобных инцидентов в будущем для всех привилегированных аккаунтов в Bugzilla инициирован процесс смены паролей и переход к обязательному применению двух-факторной аутентификации.
Источник