$
אינטרנט

מוזילה: מאגר הבאגים שלנו נפרץ, פיירפוקס בסכנה

מערכת "באגזילה", דרכה מנוהלים תיקוני התקלות בדפדפן הפופולרי, נפרצה לפני כשנה ומידע רגיש על 185 באגים נגנב ממנה. מאז השתמשו האקרים במידע לביצוע מתקפות רשת דרך פרצות אבטחה בפיירפוקס ולריגול אחר גולשים

נמרוד צוק 11:2106.09.15

גם במודל הקוד הפתוח מתרחשים לפעמים מחדלי אבטחה: האקר חדר למערכת מעקב הבאגים באגזילה, שמשמשת לניהול העבודה על תיקון באגים ופרצות בקבוצת מוזילה - והוציא ממנה מידע רגיש ששימש לביצוע התקפות על משתמשי פיירפוקס.

 

הפריצה התרחשה כבר בחודש ספטמבר 2014, באמצעות איתור הסיסמה לחשבון בעל הרשאות גישה גבוהות למערכת שבעליה עשה בה שימוש רשלני באתר אחר ומאובטח פחות. הפורץ הצליח להסתיר אותה במשך חודשים ארוכים, עד לגילויו במועד לא ידוע, כאשר רק ביום ו' האחרון החליטו במוזילה לפרסם את המקרה.

 

 

מה קרה לשועל? מה קרה לשועל?

 

במהלך התקופה הפורץ הצליח לשים ידו על 185 באגים לא ידועים לציבור, כאלו שנידינו רק במעגל הפנימי של מפתחי הדפדפן, מתוכם 53 שסווגו כ"פרצות אבטחה חמורות", כולל עשר שטרם תוקנו בגרסת הדפדפן האחרונה בעת חשיפתן. פרצה אחת בלבד, טוענים במוזילה, שימשה בפועל לצורך התקפה שבוצעה דרך באנר פרסומי באתר חדשות רוסי, שכלל קוד עוין שהעביר מידע רגיש ממחשבי הגולשים שביקרו באתר אל שרת באוקראינה. פרצה זו תוקנה רק ב-6 באוגוסט, כאשר במקרה של תשע הפרצות האחרות היו חלונות זמן של שבוע עד מספר חודשים מרגע חשפיתן לעיני הפורץ ועד שתוקנו, אבל בארגון לא מודעים לנסיונות לנצל אותן בפועל.

 

כל הפרצות שנחשפו בפריצה, טוענים במוזילה, תוקנו בגרסת הדפדפן ששוחררה ב-27 באוגוסט. בפוסט בבלוג הרשמי של הקבוצה היא הסבירה כי נהלי אבטחת המידע לגישה של המשתמשים בעלי ההרשאות הגבוהות אל מאגר הבאגים הודקו כדי לצמצם את הסיכון למקרים דומים בעתיד.
בטל שלח
    לכל התגובות
    x