News Mozilla: Bugzilla-Fehlerdatenbank gehackt

[fethomm]

Mozilla hat eingeräumt, dass die Fehlerdatenbank Bugzilla, die auch die Firefox und Thunderbird betreffenden Fehlermeldungen enthält, gehackt wurde. Die gute Nachricht ist: Alle kritischen Fehler, auf die der Dieb Zugriff hatte, sind bereits berichtigt.

Zur News: Mozilla: Bugzilla-Fehlerdatenbank gehackt

 

[iiiPlayer]

Der Bugzilla-Nutzer hat demnach sein Passwort für den Bugtracker auch andernorts verwendet

Argh...wenn man auf so etwas Zugriff hat, sollte es doch das Mindeste sein, sich ein neues Passwort auszudenken/zu generieren...

 

[Eagle-PsyX-]

Finde das begrüßenswert wie Mozilla damit offen umgeht und auch den Fehler eingesteht.
Zu denken macht das schon, aber immerhin sind solche Exploits, die bereits als "Fehler" behandelt werden weniger vielversprechend da sie doch meist mal behoben werden.

 

[Der-Orden-Xar]

Ziemlich leichtsinnig, ein nicht einmaliges PW zu verwenden, wenn man damit zugriff auf nicht öffentlich bekannte Sicherheitsprobleme hat. Aber auch damit wurde bugzilla ja nicht gehackt, sondern nur ein Konto übernommen.

 

[MiamXD]

Naja gehackt ist anders, hölrt sich bei mir eher wie der Bundestagshack an. Leute mit Verantwortung sollten wenigstens grundlegende IT-Sicherheitsgrundlagen beherrschen... Bei Bugzilla Usern würde ich die aber grade vorraussetzen, im Bundestag eher nicht

 

[Smartbomb]

Lieber Herr Thommes, bitte nicht "Sinn machen" schreiben!
Letzter Satz:

Zudem soll die Anzahl der privilegierten Anwender gesenkt sowie deren jeweiligen Privilegien eingeschränkt werden, wo dies Sinn macht.

Sinn ergibt. Oder etwas kann sinnvoll sein. Oder der Sinn erschließt sich mir nicht.
Aber bitte kein Sinn machen. Bitte bitte bitte!
Ich weiß, das kam in den letzten beiden Jahren in Mode, aber das tut sooo weh!
Und ich bin kein Deutsch Genie oder Grammatiknazi
Danke

 

[LuckyMagnum]

Auf gut Deutsch Firefox ist genauso "sicher" wie Android? Jeder Depp kennt jede kritische Lücke, und kann sie nach Belieben ausnutzen, und das unbemerkt, seit Jahren?

 

[Hot Dog]

Lieber Herr Thommes, bitte nicht "Sinn machen" schreiben!

Ich hab es inzwischen aufgegeben, das "Sinn machen" zu korregieren. Den Menschen ist Sprache, Grammatik, Zeichensetzung usw. immer weniger wert. Schade, aber wahr.

@topic:
Mozilla hat gut reagiert und als wirklich schlimm betrachte ich den Eingriff jetzt auch nicht. Klar, hätte natürlich auch mehr passieren können, aber ging ja nochmal gut aus.

EDIT: @TungstenCarbide
Wer lesen kann, ist klar im Vorteil
Die aller meisten Lücken sind bereits geschlossen, mit den Restlichen kann man anscheinend nicht so viel anfangen, sonst wäre es bereits publik geworden.
Und deine unterschwellige Kritik gegen Android kannst du auch für dich behalten. Der Vergleich ist nicht nur unangebracht, sondern auch falsch.
Bleib bei deinem Noob-Handy iPhone und sei zufrieden, dass man für die Bedienung keinerlei Wissen braucht und es auch ein Kindergartenkind bedienen kann.

 

[Haldi]

Schwachstelle Mensch hat wieder einmal zugeschlagen.
Ich warte ja nur darauf das es mal bekannt wird wenn ein Passwortmanager Programm gehackt wird und so alle Passwörter geklaut werden. Dann kann man getrost sagen alles ist unsicher ^^

 

[DaBzzz]

Schöne Story, aber deswegen updaten? Nö. Lieber nen löchrigen Fuchs, als einen durch GUI-Verunstaltung unbenutzbar gewordenen.

 

[Der-Orden-Xar]

Auf gut Deutsch Firefox ist genauso "sicher" wie Android? Jeder Depp kennt jede kritische Lücke, und kann sie nach Belieben ausnutzen, und das unbemerkt, seit Jahren?

Jeder Depp, der
1) Einen Bugzilla-User findet mit erhöhten Rechten
2) Dieser Bugzilla-User ein Bugzilla-PW noch woanders verwendet
3) Diese andere Seite ein Datenleck hat und somit "jeder Depp" an das PW kommt.

Also ja, jeder Depp.

Ich hab es inzwischen aufgegeben, das "Sinn machen" zu korregieren. Den Menschen ist Sprache, Grammatik, Zeichensetzung usw. immer weniger wert. Schade, aber wahr.

Sprache ist nun mal eine Wissenschaft*, sondern ein sich entwickelndes Konstrukt.
So war früher mal "Hinter" viel viel Vulgärer als "Ar***", "Welt" schrieb AFAIK man irgendwann mal "Weld". Nur weil "das" ich es hier gerade schreibe und nicht sage merkst du, ob ich "das" oder "dass" meine. Das alles "macht keinen Sinn" und speziell die das/dass-Geschichte habe ich nie als Sinnvoll erachtet.

* Wissenschaft im sinne von wissen schaffen. Das Wissen sollte in Granit geißelt, es seiden moderne Methoden widersprechen den alten Ergebnislosen.


@DaBzzz: Du kannst doch einen modernen Firefox ohne Lücken noch genug verschandeln, dafür brauchst du keine alte Version

 

[Smartbomb]

Das/dass Geschichte nicht sinnvol?
Naja, das eine ist ein normaler Artikel, und das andere eben das andere.
Laienhaft ausgedrückt.
Also beim Leaen merkt man einen Das-Fehler sofort und da krempelt sich der Magen um. Ist mir damals in der Schule auch nicht so schlimm vorgekommen (habs aber selbst immer automatisch richtig gemacht), aber mittlerweile, in Mitten der "Gossensprache" die Online leider viel zu oft Verwendet wird

Außerde wird dem guten Herrn Thommes so ein "Stilfehler" noch am ehesten verziehen, denn der ist mehr in Amerika als im deutschsprachigen Raum.
So sei es ihm verziehen.
Gott sei Dank schreiben die übrigen Autoren hier auf CB ordentlich.
Wenn mal irgendwo Buchstaben von der Tastatur gefressen wurden, wirds eh gleich ausgebessert.
Bis ich die news dann lese ist dann schon allea Top!

 

[Mr.Kaijudo]

Auf gut Deutsch Firefox ist genauso "sicher" wie Android? Jeder Depp kennt jede kritische Lücke, und kann sie nach Belieben ausnutzen, und das unbemerkt, seit Jahren?

Es gibt keine Hacker, das wird nur immer als Ausrede für technisches Versagen genutzt.

 

[Radde]

Ich hab es inzwischen aufgegeben, das "Sinn machen" zu korregieren. Den Menschen ist Sprache, Grammatik, Zeichensetzung usw. immer weniger wert. Schade, aber wahr.

Sprache ist nun mal eine Wissenschaft*, sondern ein sich entwickelndes Konstrukt.
So war früher mal "Hinter" viel viel Vulgärer als "Ar***", "Welt" schrieb AFAIK man irgendwann mal "Weld". Nur weil "das" ich es hier gerade schreibe und nicht sage merkst du, ob ich "das" oder "dass" meine. Das alles "macht keinen Sinn" und speziell die das/dass-Geschichte habe ich nie als Sinnvoll erachtet.

* Wissenschaft im sinne von wissen schaffen. Das Wissen sollte in Granit geißelt, es seiden moderne Methoden widersprechen den alten Ergebnislosen.

Das/dass Geschichte nicht sinnvol?
Naja, das eine ist ein normaler Artikel, und das andere eben das andere.
Laienhaft ausgedrückt.
Also beim Leaen merkt man einen Das-Fehler sofort und da krempelt sich der Magen um. Ist mir damals in der Schule auch nicht so schlimm vorgekommen (habs aber selbst immer automatisch richtig gemacht), aber mittlerweile, in Mitten der "Gossensprache" die Online leider viel zu oft Verwendet wird

Außerde wird dem guten Herrn Thommes so ein "Stilfehler" noch am ehesten verziehen, denn der ist mehr in Amerika als im deutschsprachigen Raum.
So sei es ihm verziehen.
Gott sei Dank schreiben die übrigen Autoren hier auf CB ordentlich.
Wenn mal irgendwo Buchstaben von der Tastatur gefressen wurden, wirds eh gleich ausgebessert.
Bis ich die news dann lese ist dann schon allea Top!

Auch auf die Gefahr hin, dass dieser Beitrag im Aquarium verschwindet...
Ich bin selbst mit "Sinn machen" aufgewachsen und empfinde die Phrase als deutscher Muttersprachler als vollkommen korrekt. Allerdings kann ich es gut nachvollziehen, wenn sich jemandem bei einzelnen Wortgebilden die Zehennägel hochstellen. Bei mir wäre das "In 2015 ... " *grrr*

Zum Thema "Sinn machen" gibt mittlerweile auch etliche Fachartikel von anerkannten Sprachwissenschaftlern. Eine Pro-Haltung nimmt A. Stefanowitsch vom Institut für Allgemeine und Angewandte Sprachwissenschaft der Universität Bremen ein.
Nach den Durchlesen aller vier Beiträge bin ich zur Überzeugung gekommen:
Ich werde "Sinn machen" weiterhin verwenden und mich nicht dafür schämen! Und Computerbase braucht das auch nicht zu tun.

 

[DaBzzz]

@DaBzzz: Du kannst doch einen modernen Firefox ohne Lücken noch genug verschandeln, dafür brauchst du keine alte Version

Naja doch, mittels Keyword Seach, Mouse Gestures Suite (als Ersatz für ein ab 18.x blockendes Addon, einzeln bis 34 getestet) und browser.download.useToolkitUI=true läuft grade testweise der 24.8.1 ESR statt dem 17.0.11 ESR. Paar kleinere UI-Sachen sind anders, das Downloadfenster hat seine Titelzeile eingebüßt, Status-4-Evar verliert seine Position ständig, und man tauscht ein Speicherleck bei längerer Nutzung gegen dauerhaft höheren RAM-Verbrauch ein. Weitere "Vorteile" durch ein Jahr Weiterentwicklung hab ich bisher nicht bemerkt. Wahrscheinlich wirds so bleiben, aber meine Backups liegen griffbereit.

FF 26 verliert dann das Downloadfenster komplett und 29 kriegt Australis verpasst. Der nächste ESR ist dann die 31. Da bin ich nicht scharf drauf.

Was hat das mit dem Thema zu tun? Nichts. Aber was will man dazu auch schon sagen. Da hat der Typ schon Zugriff auf brisante Informationen, und dann nutzt er dafür kein einzigartiges Passwort. Volldepp. Und solche Leute entwickeln grade einen ehemals schlanken, schnellen, zuverlässigen Browser zu einem instabilen Addon-Moloch, der Features hat, die keiner braucht (aber lauter neue Lücken aufreißen), und der nur noch einem Google Chrome hinterhergebaut wird. Aber nicht als Neuentwicklung, sondern indem man Zeug obendrauf pfropft, das da weder drauf passt, noch drauf gehört. Denn Chrome gibts ja bereits...

 

[Brötchenesser]

ich frage mich gerade was das den Leuten bringt...

haben die alle nix zu tun,müssen die nicht arbeiten...oder hängen die nur 25 Stunden am Tag am Rechner....meistens sinds ja Kiddies..die arbeitslos sind.....und nochnichtmal wissen wer ihre Nachbarn sind..aber Hauptsache bin ich cooll und kann Webseiten hacken...für mich ein Armutszeugnis von unserer Gesellschaft



bei solchen Leuten sag ich dann auch..hoffentlich schnappt man euch..und ab innen Bau...und nix mit 100 Stunden Sozialarbeit..machts so wie in Amerika...wer hacken tut ..muss die volle Härte des Gesetzes zu spüren bekommen

in diesm Sinne

 

[-->]

Bei Google hätte man es abgestritten so lange es geht, und dann die schuld anderen gegeben.
Bei MS hätten sie sich stur gestellt, und am ende der NSA die schuld gegeben.

 

[dreamy_betty]

Man sollte vorweg erwähnen, dass Mozilla an diesem Einbruch fast unschuldig war. Schließlich wurde Bugzilla nicht gehackt, lediglich die Dummheit eines privilegierten Bugzilla Nutzers machte den unerlaubten Zugriff auf jene Bugdaten überhaupt erst möglich. Bedenklich ist das aus zwei Gründen aber trotzdem. Ich zitiere mal aus der FAQ, die von Mozilla bereitgestellt wurde:

(...) Information uncovered in our investigation suggests that the user reused their Bugzilla password with another website, and the password was revealed through a data breach at that site.

(...) There are some indications that the attacker may have had access since September 2013.

1.) All das, nur weil jemand, möglicherweise ein Mozilla Entwickler, dieselben Nutzerdaten oder zumindest dasselbe Passwort bei einem anderen Internetdienst verwendet hat, der gehackt wurde?

2.) Findet bei solchen sicherheitskritischen Daten keine Überprüfung statt, wer wann darauf zugreift? Fällt es nicht auf, wenn derselbe Account wiederholt von unterschiedlichen IP-Adressen/Netzbetreibern benutzt wird? Heutzutage wird an allen Ecken und Enden die Accountsicherheit verbessert, verdächtige Anmeldungen werden teilweise sogar gänzlich verhindert und der Besitzer des Accounts darüber informiert. Wie kann das 2 Jahre lang unentdeckt bleiben?

Ich finde dies jedenfalls grob fahrlässig, denn dabei handelte es sich schließlich nicht um einen privaten Account, sondern um einen Entwicklerzugriff mit welchem man die Sicherheit von Millionen Internetnutzern gefährden könnte.

 

[Bruddelsupp]

Auf gut Deutsch Firefox ist genauso "sicher" wie Android? Jeder Depp kennt jede kritische Lücke, und kann sie nach Belieben ausnutzen, und das unbemerkt, seit Jahren?

Jemand hat sich Zugang zur Bugzilla Instanz verschafft mit der auch das Bugtracking zu Firefox erfolgt. Über die Sicherheit des Browsers an sich sagt das erstmal gar nichts aus! Der Vergleich mit Android hinkt nicht nur deswegen.

Allerdings kann man den Verantwortlichen schon fehlendes Problembewusstsein vorwerfen, wenn man einen ein sicheres Produkt haben möchte benötigt man auch einen sicheren Produktentstehungsprozess. Und wer Bugzilla nicht nur aus den firmeninternen Netz sondern auch über das WAN erreichbar macht, sollte besondere Vorsicht walten lassen.

 

[Luxuspur]

naja auch bei den Hackern gibts die GeizistGeil Fraktion --> zerodays for free nee mit opensource kann es sowas ja ned geben.

Finde das begrüßenswert wie Mozilla damit offen umgeht und auch den Fehler eingesteht.

naja was sollte man es auch leugnen nachdem es bereits an der Öffentlichkeit ist und sry, aber seit Sept 2013 und jetzt kommens damit raus ? ... die sind kein Deut besser! Aber huldigt ihr ruhig euren Göttern.

den du kannst es drehen und wenden:

a.) seit 2013 und sie bemerken es erst jetzt --> Schande!
b.) sie haben es damals schon bemerkt sind aber erst jetzt nachdem es durchgesickert ist an die Öffentlichkeit --> Schande!