Представителями Mozilla был опубликован отчет о взломе багтрекера Bugzilla. В результате взлома неизвестные похитили информацию о 185 уязвимостях в продукции Mozilla, включая Интернет-браузер Firefox. Вероятно, эти данные использовались хакерами для атак на пользователей браузера.
Как сообщают представители Mozilla, хакеры смогли проникнуть в систему благодаря тому, что получили доступ к одному из привилегированных аккаунтов, а затем, через него, к закрытым обсуждениям. В ходе расследования, инициированного компанией, выяснилось, что у одного из пользователей были идентичные пароли для Bugzilla и других сайтов, один из которых был скомпрометирован. В результате пароль оказался в руках преступников. Имея доступ к аккаунту в Bugzilla, хакеры смогли добраться до информации об уязвимостях в Firefox и других продуктах Mozilla.
Хакеры уже давно имели несанкционированный доступ к багтрекеру. Первый подтвержденный случай неавторизованного доступа произошел в сентябре прошлого года. Есть факты, которые указывают на то, что хакеры могли получить доступ к Bugzilla еще в сентябре 2013 года.
Атакующими была украдена информация о 185 уязвимостях. 110 из них не имели отношения к проблемам с безопасностью, данные о них были засекречены по причине того, что были связаны с проприетарной информацией. 22 оценивались как проблемы средней тяжести. 53 характеризовались как критические. 10 багов, отнесенных к критическим, долгое время были в неисправленном состоянии, в то время, как 43 были вовремя устранены.
Теперь сотрудники Mozilla утверждают, что преступники, видимо, действительно смогли воспользоваться некоторыми из десятка вовремя неисправленных багов. Об одном из таких случаев в компании уже сообщали ранее в этом месяце. Тогда источником угрозы для пользователей Firefox являлась реклама на российских новостных сайтах. Вредоносная программа использовала брешь в браузере и передавала персональные данные пользователей на сервер, предположительно находящийся на территории Украины. Эту уязвимость закрыли 6 августа 2015 года.
По словам представителей Mozilla, вышеупомянутый привилегированный аккаунт закрыли, к расследованию произошедшего привлекли компанию киберкриминалистов. Все уязвимости были исправлены в последней версии Firefox, вышедшей 27 августа 2015 года.