Mozilla er den idelle stiftelsen bak blant annet nettleseren Firefox. Fredag varslet de om innbrudd i Bugzilla, som er stiftelsens feilrapporteringssystem. Det er en database med sårbarheter, feil og mangler i produktene i de lager.
Databasen blir brukt i arbeidet med å prioritere og planlegge feilfiks og sikkerhetsoppdateringer.
Mesteparten av informasjonen er offentlig. Men systemet har også sikkerhetssensitive opplysninger, der adgang skal være begrenset.
Les også: Dødsstøt for Flash-annonser
Målrettet
En slik priviligert konto har i lengre tid vært kompromittert etter det som fremstår som et målrettet angrep.
- Vi mener informasjonen er stjålet for å angripe Firefox-brukere, opplyser stiftelsen i en kunngjøring.
Konkret nevnes angrep mot samme sårbarhet som Mozilla fjernet med en oppdatering til nettleseren den 6. august.
Fra tidligere vet vi at det finnes et marked for kjøp og salg av sårbarheter i programvare. Tilbydere har hevdet at dette er en legitim form for våpenhandel, men dette er en kontroversiell påstand.
Feil og hull i programvare blir brukt og misbrukt både av kriminelle, politimyndigheter og etterretningsorganisasjoner.
Les også: NSA kjøpte sårbarheter fra Vupen
Kan ha snoket i to år
Mozilla bekrefter at angriperne har hatt kontroll med den aktuelle kontoen i minst ett år.
Samtidig er det funnet indikasjoner på at angriperne har hatt adgang siden september 2013, altså i to år.
Forholdet er meldt til politiet.
Så du denne? Tysk e-tjeneste vil kjøpe sårbarheter for å avlytte nettrafikk
Strammer inn
Det antydes at sikkerhetsnivået har vært under pari. Stiftelsen skriver:
- Vi endrer nå Bugzillas sikkerhetspraksis for å redusere risikoen mot angrep av denne typen. Umiddelbart, som et første skritt, har alle brukere med adgang til sikkerhetssensitiv informasjon vært nødt til å endre passordene sine og ta i bruk tofaktor-autentisering.
Videre skriver de at de nå reduserer antallet brukere med priviligert adgang, samtidig som de vil begrense tilgangsnivået og dermed hva hver enkelt priviligert bruker kan gjøre.
- Med andre ord gjør vi det vanskeligere for en angriper å bryte seg inn, gir værre muligheter for innbrudd og reduserer informasjonen som en angriper kan komme over hvis de kommer seg inn.
I Firefox-versjonen som ble utgitt i slutten av august (versjon 40.0.3), skal samtlige sårbarheter som angriperen kan ha stjålet informasjon om være fikset, ifølge Mozilla.
Les også: Nulldagshull betegnet som «vakkert» av Hacking Team