Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 14 reacties

Een hacker is erin geslaagd om in te breken in Mozilla's systeem voor het rapporteren van bugs, Bugzilla. Hij maakte daarbij vertrouwelijke informatie buit. Mozilla denkt dat de hacker de informatie heeft ingezet voor het misbruiken van een onlangs gedicht beveiligingslek in Firefox.

Mozilla Firefox 2013 logoVia Bugzilla rapporteren gebruikers fouten in onder andere Firefox aan ontwikkelaars. De meeste informatie over die bugs is openbaar, maar sommige gegevens zijn afgeschermd. Het gaat dan bijvoorbeeld om informatie die de veiligheid van Firefox-gebruikers in gevaar brengt.

Mozilla meldt vrijdagavond dat iemand er onlangs in is geslaagd die vertrouwelijke gegevens te stelen door een Bugzilla-account te hacken. De organisatie denkt dat die persoon de vergaarde kennis heeft gebruikt om Firefox-gebruikers aan te vallen door middel van een exploit in de pdf-viewer. Dat probleem is begin vorige maand verholpen. Over eventuele gedupeerden is niets bekend.

De Firefox-maker zegt maatregelen te hebben genomen om te voorkomen dat iemand opnieuw kan inbreken in Bugzilla. Zo moeten alle gebruikers van de rapporteersoftware hun wachtwoorden veranderen en tweestapsverificatie gebruiken. Ook zijn er verbeteringen doorgevoerd aan de software om te voorkomen dat de veiligheid verder in het geding komt. Mozilla vermoedt op basis van de huidige informatie dat de kwaadwillende verder geen bekende beveiligingslekken in Firefox misbruikt.

Moderatie-faq Wijzig weergave

Reacties (14)

Weet niet of dit een officieel pdf is, maar ik zag deze voorbij komen op twitter.
Click
Hierin staat dat de bugs waartoe de kwaadwillende toegang tot had allemaal opgelost zijn in de release van 27 augustus.

Om beveiligd te zijn tegen deze bekende bugs is het dus belangrijk om te updaten naar de laatste versie van Firefox.
Is officieel, op de blog linken ze hier ook naar.
De enige die hierin belang in kan hebben zijn organisaties zoals de NSA. Maar waarom zou een hacker afgeschermde gegevens voor zichzelf willen houden of vrijgeven ? Dat je iets hackt om een organisatie onder druk te zetten of iets te bewijzen, okey het is slecht maar het heeft een reden. Maar ik zie niet dat een of andere hackertje veel met deze data kan.

Dus mijn Nr. 1 verdachte is de NSA of dergelijk.
Details over een bug kan veel betekenen, wellicht niet voor jou maar wel voor kwaadwillenden.
Waarom de NSA? Het ligt meer voor de hand dat het reguliere kwaadwillenden zijn. Het kan heel interessant zijn om te weten welke vulnerabilities wel ontdekt maar nog niet gepatcht zijn in de browsers van een paar honderd miljoen internetgebruikers. Handig voor een exploit kit of drive-by download malware.
De diagnose van een beveiligingsprobleem is vaak genoeg om eenvoudig een programma te maken dat er misbruik van maakt. Daarnaast maken ontwikkelaars vaak tests om te voorkomen dat hetzelfde probleem later weer opduikt - maar van die tests kan je natuurlijk ook misbruik maken (daarom worden ze pas opgenomen in de broncode als alle ondersteunde versies de fix hebben).
De enige? Kom ff onder je alu hoedje vandaan en kijk om je heen: ooit gehoord van criminelen die gebruik maken van goedkope 0days om even snel duizenden euros te verdienen?
Het is denk ik niet de NSA. De code van de exploit circuleerde enkele dagen na het rapporteren al op het internet, op publieke websites. Met wat moeite heb je die zo gevonden. Dan kun je er van uitgaan dat de NSA de exploit al had, als ze al niet informanten bij Mozilla hebben werken die bugs doorspelen (aluhoedje). Degene die heeft ingebroken bij bugzilla wist waarschijnlijk niet dat de exploit al online circuleerde of had hierbij een ander doel. Het gekke is dat ik nog steeds toegang heb tot het bugticket waar het over gaat en dat ik verder niet ben geinformeerd door Mozilla. Ook heb ik mijn wachtwoord niet veranderd en kan ik inloggen zonder tweestapsverificatie. Wellcht zijn ze hier nog mee bezig.
Update: Het lijkt er op dat alleen gebruikers met standaard toegang tot afgeschermde bugs hun wachtwoorden moeten veranderen en tweestapsverificatie moeten gebruiken, wat vrij logisch is. Ik heb eenmalig een bug gerapporteerd en daar val ik dus niet onder. Zie reactie van Mitsuko.

[Reactie gewijzigd door fukusa op 4 september 2015 23:49]

De NSA vraagt gewoon om data en dan zullen ze dat moeten geven, hoeven echt niet moeilijk moeten hacken.
De NSA hoeft niet te hacken, die tappen alles en hebben via achterdeurtjes allang toegang tot systemen zoals dit. :+

//aluhoedje off

Hackers kunnen veel aan deze informatie hebben om via dit soort lekken malware op systemen geinstalleerd te krijgen. Afhankelijk van de ontwikkelaar kunnen lekken nog wel eens open blijven zonder dat iemand het weet terwijl de ontwikkelaar nog bezig is met een oplossing, soms duurt het even voordat een oplossing gemaakt is en in die tijd kunnen hackers misbruik maken van het lek.
niks NSA rickiboy. NSA heeft toch al overal toegang, dus het woord 'stelen' is dan niet aan de orde.

Dit is keiharde business waar vet geld mee valt te verdienen, dus elke consultant en IT bedrijfje waar weer wat lui zitten waar iets ontbreekt in de hersenen, die doen zo'n poging en sommigen lukt het.
Zo moeten alle gebruikers van de rapporteersoftware hun wachtwoorden veranderen en tweestapsverificatie gebruiken.
Tweestapsverificatie en de wachtwoordreset zijn alleen nodig voor gebruikers met standaard toegang tot afgeschermde bugs. Voor gebruikers die niet deel zijn van groepen die toegang verschaffen tot bepaalde soorten afgeschermde bugs verandert er dus niets. Als je zelf een afgeschermde bug aanmaakt, of als iemand je om assistentie vraagt in een afgeschermde bug, dan kan je er nog steeds naar kijken.

Overigens zorgden de maatregelen intern wel voor wat problemen - mensen die hun wachtwoord moesten resetten konden niks meer doen met Bugzilla zonder eerst al hun cookies te verwijderen: ze konden niet eens uitloggen :P

[Reactie gewijzigd door Mitsuko op 5 september 2015 00:16]

Auto-update is dan toch wel handig :).
Het komt er dus op neer dat tweestapsverificatie is ingevoerd omdat iemand zijn wachtwoord ook op een andere site gebruikt. Als meer sites zoiets gaan doen, red je het niet met een wachtwoordbeheerder als in Firefox.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True