News Mozilla: Bugzilla-Fehlerdatenbank gehackt

[Hypeo]

Hacken = automatisch alles am PC was mir nicht gefällt.
Damit muss man sich abfinden.

Bin gespannt, wer hier den Unterschied zwischen Crackern und Hackern weiß.
Und wer mir in meiner unterstützenden und durchwegs positiven verehrenden Sicht auf Hacker zustimmt...

 

[UrlaubMitStalin]

Der Titel ist dann wohl falsch... gehackt haben sie nicht die Datenbank, sondern die Datenbank von jemand anderes wo zufällig die NUtzerdaten identisch waren mit Bugzilla.

 

[Creeed]

a.) seit 2013 und sie bemerken es erst jetzt --> Schande!
b.) sie haben es damals schon bemerkt sind aber erst jetzt nachdem es durchgesickert ist an die Öffentlichkeit --> Schande!

Woran sollen sie es merken? Ein registrierter User loggt sich auf seinem Account ein und nimmt Einblick in die Daten? Wie soll ich daran merken ob der Nutzer legitim ist oder nicht. Außerdem, seit 2013 sein Passwort nicht ändern und woanders das gleiche mit dem gleichen Usernamen benutzen zeugt auch nicht gerade von einer erhöhten Sensitivität für Sicherheit beim Nutzer.

ich frage mich gerade was das den Leuten bringt...

haben die alle nix zu tun,müssen die nicht arbeiten...oder hängen die nur 25 Stunden am Tag am Rechner....meistens sinds ja Kiddies..die arbeitslos sind.....und nochnichtmal wissen wer ihre Nachbarn sind..aber Hauptsache bin ich cooll und kann Webseiten hacken...für mich ein Armutszeugnis von unserer Gesellschaft

Bei den Skriptkiddies mag das stimmen, aber bei Zero-Day geht es um eine Menge Geld. Da sitzen Leute die recht ansehnliche Summen verdienen. Wenn sie dann noch für einschlägige Organisationen Malware entwickeln die diese Lücken ausnutzt scheffelt er richtig Kohle.


Ich kann nicht verstehen dass Mozilla in solchen Bereichen, die sensibel sind, nicht regelmäßig Passwörter ändern lässt. Dass das hier passiert ist war die pure Faulheit eines Nutzers und der Zufall dass dieser Nutzer Zugang zum geschlossenen Bugtracker hatte.

 

[Der-Orden-Xar]

Das/dass Geschichte nicht sinnvol?
Naja, das eine ist ein normaler Artikel, und das andere eben das andere.

Und wenn ich dir nur ein "dass" an den Kopf werfe klingt es wie ein "das"
natürlich macht das keinen Sinn 2 Wörter, die man gleich spricht unterschiedlich zu schreiben.

FF 26 verliert dann das Downloadfenster komplett und 29 kriegt Australis verpasst. Der nächste ESR ist dann die 31. Da bin ich nicht scharf drauf.

Du scherzt oder?
Selbst die ESR 31 ist EOL. Genau deswegen hat Win10 den Updatezwang drinne, damit die Leute keine Scheunentore mehr verwenden.

der Features hat, die keiner braucht (aber lauter neue Lücken aufreißen), und der nur noch einem Google Chrome hinterhergebaut wird.

Ich möchte hier auf Palemoon verweisen: TMP läuft nicht, Panorama (aka tab Gruppen) wurde entfernt, wil angeblich unnütz/nicht benutzt, whatever Absolutes NoGo
Der Entwickler scheint nie mit mehr als 2 Tabs zu arbeiten mit der Aussage.
Daher sind "Features hat, die keiner braucht" eher Features, die DU nicht brauchst.
Und jetzt wieder Google-Clon? letzte Woche wars noch MS gesteuert

 

[AnfängerEi]

Lol, was ein Armutszeugnis^^

Haben die keinen Admin da, der ab und zu nach dem Rechten sieht und nach Auffälligkeiten schaut?
Keine Vorschriften wie oft ein PW geändert werden soll?
Keine Vorschrift die besagt, dass man ein einmaliges PW nutzen soll?

Besagte Person kann doch nur jemand sein, der auch ein Online-PW für seinen Zugang zum Porno-Portal nutzt.

 

[fethomm]

Der Titel ist dann wohl falsch... gehackt haben sie nicht die Datenbank, sondern die Datenbank von jemand anderes wo zufällig die NUtzerdaten identisch waren mit Bugzilla.

Und das pack mir jetzt noch sinnstiftend in eine kurze Überschrift

 

[AnfängerEi]

unerlaubter Fremdzugriff auf Bugzilla-Fehlerdatenbank
oder
Bugzilla-Fehlerdatenbank seit 2 Jahren infiltriert



Oder
Zugangsdaten nie geändert - Fremdzugriff über 2 Jahre die Folge

 

[Der-Orden-Xar]

Bei den letzten beiden wäre es aber inkorrekt, da der zugriff nur ab Ende 2014 bestätigt ist und im schlimmsten Fall seit 2 Jahren besteht. wenn schon auf dem Titel herumgeritten wird, dann richtig^^
Der Fremdzugriff wäre da schon passender

 

[DaBzzz]

Du scherzt oder?

Kein Stück. Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Firefox/24.0
Und ich bilde mir ein, es gäbe einen wichtigen Unterschied zwischen Oma Helgas ungepatchtem IE 6.0 (7, 8, 9, 10, 11, wieviel isses grade?) und meinem FF mit apt-Sperreintrag. Aber vielleicht ist das nur ein Hirnfurz eines Ewiggestrigen

 

[wolli_d]

Na Glückwunsch, wenigstens mal eine im Netz verteilte Datenbank, wo meine Benutzernamen nicht drin sind. Das Spamaufkommen mit korrekter Anrede hat in letzter Zeit extrem zugenommen, dafür noch mal meine herzlichen Flüche an die Betreiber der ach so sicheren Server.

 

[MiamXD]

Du hast überhaupt keine Ahnung was Bugzilla ist, oder? Eine Liste mit Bugs im Firefox enthält logischerweise keine Benutzerdaten. Die vom Angreifer genutzten Zugangsdaten hat er woanders geklaut und dann festgestellt, dass sie bei bugzilla auch funktionieren

 

[AnfängerEi]

Bei den letzten beiden wäre es aber inkorrekt, da der zugriff nur ab Ende 2014 bestätigt ist und im schlimmsten Fall seit 2 Jahren besteht. wenn schon auf dem Titel herumgeritten wird, dann richtig^^
Der Fremdzugriff wäre da schon passender

Dann eben
Zugangsdaten nie geändert - Fremdzugriff über lange Zeit die Folge

Dennoch ist es nicht auszuschließen, dass evtl doch schon 2 Jahre darauf zugegriffen wurde^^

 

[LuckyMagnum]

EDIT: @TungstenCarbide
Wer lesen kann, ist klar im Vorteil
Die aller meisten Lücken sind bereits geschlossen, mit den Restlichen kann man anscheinend nicht so viel anfangen, sonst wäre es bereits publik geworden.
Und deine unterschwellige Kritik gegen Android kannst du auch für dich behalten. Der Vergleich ist nicht nur unangebracht, sondern auch falsch.
Bleib bei deinem Noob-Handy iPhone und sei zufrieden, dass man für die Bedienung keinerlei Wissen braucht und es auch ein Kindergartenkind bedienen kann.

Danke, ich bleibe gerne bei meinem "Noob-Handy" ohne Viren.

Wer lesen kann ist klar im Vorteil, warum tust du es dann nicht? Da steht ganz klar, dass die Lücken jetzt zwar geschlossen sind, aber wie war das 2013?

 

[Der-Orden-Xar]

[...]

Jup, besonders da zum Zeitpunkt des Zugrifs noch min 10 odden waren. Jetzt sind zwar alle geschlossen aber...

Kein Stück. Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20100101 Firefox/24.0
Und ich bilde mir ein, es gäbe einen wichtigen Unterschied zwischen Oma Helgas ungepatchtem IE 6.0 (7, 8, 9, 10, 11, wieviel isses grade?)

... hier sind definitiv noch mehr als nur die 10 offen

 

[Kowa]

ich frage mich gerade was das den Leuten bringt ... haben die alle nix zu tun,müssen die nicht arbeiten

Man muß wohl eher davon ausgehen, daß das deren Arbeit ist.

Da FF hauptsächlich in D populär ist, ist das für jeden Geheimdienst von Interesse, der gg. D spioniert, also im Grunde jeden Geheimdienst. Ganz vorne stehen wie immer die Big-Five-Eyes, China, Israel und Russland.

Was so gerade an Hack-Versuchen registriert wird:
http://hp.ipviking.com/

 

[UrlaubMitStalin]

Und das pack mir jetzt noch sinnstiftend in eine kurze Überschrift

Puh.... mhh.
Ok, so aus dem Stegreif fällt mir da auch keine wesentlich bessere Formulierung ein

 

[Eagle-PsyX-]

naja was sollte man es auch leugnen nachdem es bereits an der Öffentlichkeit ist und sry, aber seit Sept 2013 und jetzt kommens damit raus ? ... die sind kein Deut besser! Aber huldigt ihr ruhig euren Göttern.

Wer lesen kann ist klar im Vorteil...

[...], dass der Dieb möglicherweise bereits seit September 2013 Zugriff auf den Teil der Datenbank mit bisher unveröffentlichten sicherheitskritischen Fehlern hatte

Dies lies sich zurückdatieren auf vielleicht den September 2013. Steht nirgendswo, dass sie das seit September 2013 wissen. Eher unwahrscheinlich, weil sie es sogar nur vermuten.

Amen, ich huldige dir... mein Gott...

Weiterhin ist das kein "Hack", hier wurde ein Passwort abgegriffen. Damit ist die Integrität von Bugzilla in keinster Weise angetastet. Sondern nur die des Entwicklers. Eine Maßnahme wäre es auch die Passwörter regelmässig ändern zu müssen (wie wir in der Uni hier), so alle 6 Monate.

 

[iSight2TheBlind]

@Eagle-PsyX
Ich greife hier nochmal das auf was TungstenCarbide gesagt hat, was aber wohl die wenigsten verstanden haben:
Es geht hier bei dieser Sache weniger darum, dass die Bugdatenbank "gehackt" wurde, sondern welche Inhalte der Angreifer hier erbeuten konnte.

Mozilla hat hier eine Datenbank mit den größten Fehlern von Firefox durch mangelnde Sicherheitsvorkehrungen (wie regelmäßig wechselnde Passwörter, Zwei-Faktor-Autorisierung etc.) an einen Angreifer verloren, der evtl. seit zwei Jahren Zugriff darauf hatte und wer weiß was mit den Informationen getrieben hat.

Die Integrität von Bugzilla ist da völlig irrelevant, wenn alle(!) Nutzer von Firefox evtl. zwei Jahre lang durch diese Nachlässigkeit angreifbar waren.

 

[Don Kamillentee]

Manchmal wünschte ich mir, User würden gesperrt / verwarnt, wenn sie offensichtlich (zum Thema) unpassende Kommentare abgeben, die eindeutig aufzeigen, dass der Artikel nicht mal zur Hälfte gelesen wurde.

 

[lolololol]

Manchmal wünschte ich mir, User würden gesperrt / verwarnt, wenn sie offensichtlich (zum Thema) unpassende Kommentare abgeben, die eindeutig aufzeigen, dass der Artikel nicht mal zur Hälfte gelesen wurde.

Kommentare kommentieren um zu kritisieren (trolololololo..).

Es geht hier bei dieser Sache weniger darum, dass die Bugdatenbank "gehackt" wurde, sondern welche Inhalte der Angreifer hier erbeuten konnte.

Viel schlimmer aus meiner Sicht ist das sie theoretisch über 1 Jahr brauchen um Fehler zu beheben.