Nhà phát triển của trình duyệt Firefox - Mozilla, vừa qua đã cho biết cơ sở dữ liệu chứa tài khoản và mật khẩu (đã được mã hóa) của người dùng tại trang web http://addons.mozilla.org đã bị lộ một cách vô tình.
Khoảng 44,000 tài khoản đăng nhập và mật khẩu đã bị tiết lộ. Nhóm bảo mật của Mozilla cũng đã kịp thời liên lạc tới tất cả những tài khoản bị ảnh hưởng thông qua email.
Điểm yếu của MD5
Sophos giải thích về cách mà Mozilla lưu trữ mật khẩu từ 9/4/2009 trở về trước là bằng hàm MD5 - thuật toán với một số điểm yếu cho phép các chuyện gia bảo mật có thể dịch ngược ra mật khẩu ban đầu.
Từ 9/4/2009 về sau, Mozilla sử dụng thuật toán mã hóa an toàn hơn là SHA-512 cho việc lưu trữ mật khẩu.
Hãy cẩn trọng với mật khẩu của bạn
Chris Lyon, giám đốc an ninh cơ sở hạ tầng của Mozilla đã cho biết trong một blog của Mozilla:
"17/12 vừa qua, Mozilla đã nhận được thông báo của một nhà nghiên cứu bảo mật về lỗi cơ sở dữ liệu của trang http://addons.mozilla.org trên một máy chủ của hãng. Nhà nghiên cứu bảo mật đã gửi báo cáo thông qua một chương trình tiền thưởng trên trang web."
"Chúng tôi có thể tải về cơ sở dữ liệu. Vấn đề này tạo ra nguy cơ cho người sử dụng, tuy nhiên để mọi người đề phòng hơn chúng tôi thấy cần thiết phải công bố vấn đề này".
"Cơ sở dữ liệu này bao gồm 44,000 tài khoản, sử dụng thuật toán mã hóa cho mật khẩu dựa trên MD5. Chúng tôi đã xóa tất cả mật khẩu, cũng như vô hiệu hóa các tài khoản này. Hiện tại mã hóa SHA-512 đã được sử dụng cho tất cả người dùng".
Mozilla cũng tin tưởng rằng người thông báo thông tin chưa truy cập vào tập tin. Tuy nhiên, thay đổi mật khẩu vẫn là một lựa chọn cần thiết nếu bạn là 1 trong số 44,000 người nhận được email từ Mozilla Security.