El hackeo a Bugzilla propició ataques a usuarios de Firefox
Bugzilla es la herramienta que ofrece Mozilla para el seguimiento de problemas de seguridad en sus productos. Obviamente, debido a la información confidencial que almacena, su acceso está restringido a unas pocas empresas y profesionales de la seguridad informática.
Mozilla ha reconocido en su blog oficial que un hacker consiguió fraudulentamente las credenciales de una cuenta de Bugzilla, accediendo a información confidencial sobre agujeros de seguridad. De hecho se cree que se aprovechó del bug que fue parcheado el pasado siete de agosto para atacar a usuarios de Firefox. Afortunadamente, no se tiene constancia de que ninguna otra información haya sido usada en contra de los usuarios de ese popular navegador.
Una vez se detectó el problema, se tomaron las medidas oportunas para solucionarlo: se cerró la cuenta comprometida y se mejoró la seguridad de Bugzilla al requerir el cambio de contraseñas de todos los usuarios e introducir la autenticación de doble factor.
Según la información ofrecida por Mozilla, el problema surgió debido a la reutilización de la misma contraseña, por parte del usuario de Bugzilla afectado, en otra web. Una vez esa web fue comprometida en un ataque, los ciberdelincuentes pudieron acceder a Bugzilla, empleando las mismas credenciales.
No nos cansaremos de repetir que debemos emplear contraseñas robustas y nunca reutilizarlas en otro servicio web. Como podemos aprender de este caso, lo primero que intentarán los hackers, es usarlas en otros servicios. De hecho, disponen de herramientas que les permiten realizar este proceso automáticamente.
En este caso, se ha confirmado que el ciberdelincuente ya había conseguido acceder a Bugzilla en septiembre de 2014, pero se cree que el problema pudo comenzar un año antes.
Dado que el ciberdelincuente ya ha realizado ataques contra usuarios Firefox basándose en el último bug parcheado, os recomendamos que si usáis este navegador, os aseguréis de tener la última versión disponible.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario