Mozillas Bugzilla: Hacker hatte Zugriff auf privilegiertes Konto

Sie müssen nicht länger rätseln: Mozilla hat bekannt gegeben, dass sein Bugtracker kompromittiert und anscheinend Informationen über kritische Sicherheitslücken entwendet wurden. Wie Sie vielleicht wissen, sind die meisten Infos, die auf Bugzilla verfügbar sind, öffentlich – aber nur die meisten. Ich denke, Sie können sich vorstellen, worum es sich bei der ‚anderen‘ Information handelt.

Scheinbar ist es einem Angreifer gelungen, in eines der Bugzilla-Konten einzubrechen (oder eher: sich ein Passwort dazu zu verschaffen). Dieses Konto hatte einen priviligierten Zugang zu den besagten nicht-öffentlichen Informationen. Laut der Bugzilla FAQ zum Thema „fand der erste bestätigte unbefugte Zugang im September 2014 statt. Es gibt einige Hinweise darauf, dass der Angreifer seit September 2013 Zugriff gehabt haben muss.“

Die FAQ erklären weiter, dass „der Angreifer Zugriff auf 185 nicht öffentliche Bugs hatte,  die wie folgt verteilt waren“:

  • 110 Bugs – Geschützt aus anderen Gründen als Software-Sicherheit (z.B. Eigentumsinformationen)
  • 22 Bugs – Geringere Sicherheitsprobleme (sec­low oder sec­moderate)
  • 53 Bugs – Schwerwiegende Sicherheitslücken (sec­high oder sec­critical)

Von diesen 53 sechhigh oder seccritical Bugs waren 43 in der Live-Version von Firefox bereits behoben worden, als der Angreifer von ihnen erfuhr. Die Information in diesen Bugs konnte wahrscheinlich nicht verwendet werden, um Firefox User anzugreifen.“

Damit bleiben „nur“ 10 Bugs über, die der Angreifer missbrauchen hätte können – und das hat er mit (mindestens) einem von ihnen getan. Besagte Schwachstelle wurde dazu genutzt, um private Daten von Firefox-Nutzern zu sammeln.

Der kompromittiere Bugzilla-Account wurde inzwischen geschlossen und das Team ergreift Maßnahmen, um noch restriktiver zu sein, wenn es darum geht, wer an sicherheitssensible Informationen gelangen kann. Die Sicherheit der Kontenwird außerdem neu evaluiert und verbessert.

Dieser Artikel ist auch verfügbar in: Englisch

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.