Kwaadwillende steelt vertrouwelijke informatie over Firefox-bugs

Een hacker is erin geslaagd om in te breken in Mozilla's systeem voor het rapporteren van bugs, Bugzilla. Hij maakte daarbij vertrouwelijke informatie buit. Mozilla denkt dat de hacker de informatie heeft ingezet voor het misbruiken van een onlangs gedicht beveiligingslek in Firefox.

Mozilla Firefox 2013 logoVia Bugzilla rapporteren gebruikers fouten in onder andere Firefox aan ontwikkelaars. De meeste informatie over die bugs is openbaar, maar sommige gegevens zijn afgeschermd. Het gaat dan bijvoorbeeld om informatie die de veiligheid van Firefox-gebruikers in gevaar brengt.

Mozilla meldt vrijdagavond dat iemand er onlangs in is geslaagd die vertrouwelijke gegevens te stelen door een Bugzilla-account te hacken. De organisatie denkt dat die persoon de vergaarde kennis heeft gebruikt om Firefox-gebruikers aan te vallen door middel van een exploit in de pdf-viewer. Dat probleem is begin vorige maand verholpen. Over eventuele gedupeerden is niets bekend.

De Firefox-maker zegt maatregelen te hebben genomen om te voorkomen dat iemand opnieuw kan inbreken in Bugzilla. Zo moeten alle gebruikers van de rapporteersoftware hun wachtwoorden veranderen en tweestapsverificatie gebruiken. Ook zijn er verbeteringen doorgevoerd aan de software om te voorkomen dat de veiligheid verder in het geding komt. Mozilla vermoedt op basis van de huidige informatie dat de kwaadwillende verder geen bekende beveiligingslekken in Firefox misbruikt.

Door Yoeri Nijs

Nieuwsposter

Feedback • 04-09-2015 23:0914

04-09-2015 • 23:09

14 Linkedin

Lees meer

Mozilla verspreidt patch voor exploit in pdf-viewer Firefox Nieuws van 7 augustus 2015
Beveiliging en antivirus Browsers Mozilla Firefox

Reacties (14)

-Moderatie-faq
14
14
8
1
0
0
Wijzig sortering
1superheld
4 september 2015 23:26
Weet niet of dit een officieel pdf is, maar ik zag deze voorbij komen op twitter.
Click
Hierin staat dat de bugs waartoe de kwaadwillende toegang tot had allemaal opgelost zijn in de release van 27 augustus.

Om beveiligd te zijn tegen deze bekende bugs is het dus belangrijk om te updaten naar de laatste versie van Firefox.
Anoniem: 666115
@1superheld4 september 2015 23:44
Is officieel, op de blog linken ze hier ook naar.
rickboy333
4 september 2015 23:14
De enige die hierin belang in kan hebben zijn organisaties zoals de NSA. Maar waarom zou een hacker afgeschermde gegevens voor zichzelf willen houden of vrijgeven ? Dat je iets hackt om een organisatie onder druk te zetten of iets te bewijzen, okey het is slecht maar het heeft een reden. Maar ik zie niet dat een of andere hackertje veel met deze data kan.

Dus mijn Nr. 1 verdachte is de NSA of dergelijk.
[Remmes]
@rickboy3334 september 2015 23:19
Details over een bug kan veel betekenen, wellicht niet voor jou maar wel voor kwaadwillenden.
Maurits van Baerle
@rickboy3334 september 2015 23:23
Waarom de NSA? Het ligt meer voor de hand dat het reguliere kwaadwillenden zijn. Het kan heel interessant zijn om te weten welke vulnerabilities wel ontdekt maar nog niet gepatcht zijn in de browsers van een paar honderd miljoen internetgebruikers. Handig voor een exploit kit of drive-by download malware.
Mitsuko
@rickboy3334 september 2015 23:24
De diagnose van een beveiligingsprobleem is vaak genoeg om eenvoudig een programma te maken dat er misbruik van maakt. Daarnaast maken ontwikkelaars vaak tests om te voorkomen dat hetzelfde probleem later weer opduikt - maar van die tests kan je natuurlijk ook misbruik maken (daarom worden ze pas opgenomen in de broncode als alle ondersteunde versies de fix hebben).
kodak
@rickboy3334 september 2015 23:29
De enige? Kom ff onder je alu hoedje vandaan en kijk om je heen: ooit gehoord van criminelen die gebruik maken van goedkope 0days om even snel duizenden euros te verdienen?
Anoniem: 666115
@rickboy3334 september 2015 23:45
Het is denk ik niet de NSA. De code van de exploit circuleerde enkele dagen na het rapporteren al op het internet, op publieke websites. Met wat moeite heb je die zo gevonden. Dan kun je er van uitgaan dat de NSA de exploit al had, als ze al niet informanten bij Mozilla hebben werken die bugs doorspelen (aluhoedje). Degene die heeft ingebroken bij bugzilla wist waarschijnlijk niet dat de exploit al online circuleerde of had hierbij een ander doel. Het gekke is dat ik nog steeds toegang heb tot het bugticket waar het over gaat en dat ik verder niet ben geinformeerd door Mozilla. Ook heb ik mijn wachtwoord niet veranderd en kan ik inloggen zonder tweestapsverificatie. Wellcht zijn ze hier nog mee bezig.
Update: Het lijkt er op dat alleen gebruikers met standaard toegang tot afgeschermde bugs hun wachtwoorden moeten veranderen en tweestapsverificatie moeten gebruiken, wat vrij logisch is. Ik heb eenmalig een bug gerapporteerd en daar val ik dus niet onder. Zie reactie van Mitsuko.

[Reactie gewijzigd door Anoniem: 666115 op 4 september 2015 23:49]

z1rconium
@rickboy3335 september 2015 07:16
De NSA vraagt gewoon om data en dan zullen ze dat moeten geven, hoeven echt niet moeilijk moeten hacken.
Rudie_V
@rickboy3335 september 2015 11:12
De NSA hoeft niet te hacken, die tappen alles en hebben via achterdeurtjes allang toegang tot systemen zoals dit. :+

//aluhoedje off

Hackers kunnen veel aan deze informatie hebben om via dit soort lekken malware op systemen geinstalleerd te krijgen. Afhankelijk van de ontwikkelaar kunnen lekken nog wel eens open blijven zonder dat iemand het weet terwijl de ontwikkelaar nog bezig is met een oplossing, soms duurt het even voordat een oplossing gemaakt is en in die tijd kunnen hackers misbruik maken van het lek.
hardwareaddict
@rickboy3335 september 2015 19:37
niks NSA rickiboy. NSA heeft toch al overal toegang, dus het woord 'stelen' is dan niet aan de orde.

Dit is keiharde business waar vet geld mee valt te verdienen, dus elke consultant en IT bedrijfje waar weer wat lui zitten waar iets ontbreekt in de hersenen, die doen zo'n poging en sommigen lukt het.
Mitsuko
4 september 2015 23:18
Zo moeten alle gebruikers van de rapporteersoftware hun wachtwoorden veranderen en tweestapsverificatie gebruiken.
Tweestapsverificatie en de wachtwoordreset zijn alleen nodig voor gebruikers met standaard toegang tot afgeschermde bugs. Voor gebruikers die niet deel zijn van groepen die toegang verschaffen tot bepaalde soorten afgeschermde bugs verandert er dus niets. Als je zelf een afgeschermde bug aanmaakt, of als iemand je om assistentie vraagt in een afgeschermde bug, dan kan je er nog steeds naar kijken.

Overigens zorgden de maatregelen intern wel voor wat problemen - mensen die hun wachtwoord moesten resetten konden niks meer doen met Bugzilla zonder eerst al hun cookies te verwijderen: ze konden niet eens uitloggen :P

[Reactie gewijzigd door Mitsuko op 5 september 2015 00:16]

Anoniem: 16328
4 september 2015 23:59
Auto-update is dan toch wel handig :).
Alex3
5 september 2015 17:52
Het komt er dus op neer dat tweestapsverificatie is ingevoerd omdat iemand zijn wachtwoord ook op een andere site gebruikt. Als meer sites zoiets gaan doen, red je het niet met een wachtwoordbeheerder als in Firefox.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee