A Fundação Mozilla é mais uma organização que tem problemas com o armazenamento de nomes de usuários e senhas. Cerca de 44 mil registros provenientes do site de extensões do Firefox foram expostos na internet, para tristeza dos usuários que participam ativamente dessa comunidade. Felizmente a Mozilla já enviou e-mails avisando do ocorrido, mas fica aberto o precedente.

Essa falha aconteceu depois que a organização acidentalmente – afinal de contas, ninguém faria isso de propósito – publicou as informações sobre os usuários em seu site. Uma pessoa percebeu o problema e imediatamente comunicou a Mozilla, que iniciou o trabalho de conter os danos ao zerar a senha de todos os usuários, sem exceção.

Quanto mais, melhor

De acordo com a empresa de segurança Sophos, esse problema no banco de dados da Mozilla serve para provar que usar o MD5 como forma de criptografar senhas não é mais uma boa ideia. A própria organização já havia migrado para um método mais avançado no início de 2009, mas senhas anteriores a essa data continuam sendo armazenadas por meio do MD5, que é mais fácil de ser burlado.

A Mozilla já fez uma auditoria nos logs do seu site de add-ons e descobriu que somente uma pessoa de fora da organização teve acesso aos logins e senhas, justamente a pessoa que relatou o problema. De qualquer forma, a recomendação é que os usuários registrem novas senhas e, caso utilizem a mesma senha da conta no site da Mozilla para outros serviços, faça essa troca o quanto antes. Só para garantir mesmo.

Se você é desenvolvedor, anote aí a dica da Sophos: passe a utilizar o SHA-512, que garante belas melhorias na hora de armazenar senhas. É um método mais moderno e mais seguro, que a Mozilla deveria adotar faz muito tempo.

Meio que alfinetando o pessoal da Gawker Media, a Sophos ainda comentou que “pelo menos as senhas da Mozilla não eram armazenadas por meio de texto simples”. Então tá…

Imagem: flickr .schill

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia e editor do Tecnoblog. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Também atua como comentarista da GloboNews, palestrante, mediador e apresentador de eventos. Tem passagem pela CBN e pelo TechTudo. Já apareceu no Jornal Nacional, da TV Globo, e publicou artigos na Galileu e no jornal O Globo. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se.

Relacionados