Mozilla意外洩露4.4萬筆帳密資料

Mozilla周一（12/27）證實，該站不小心把addons.mozilla.org擴充程式網站上的使用者帳號及密碼放在公開的伺服器上，現已知會受影響的使用者，並刪除所有被公開的4.4萬筆帳號。

這起意外是由Sophos資安研究人員Chester Wisniewski所發現，雖然這些被公開的密碼是採用MD5編碼，並非可直接檢視的文字，不過，Wisniewski認為MD5有其缺陷，允許不同的字串建立同樣的散列表，這使得安全專家得以計算所有可能的散列表並找出破解方法。目前網路上就存在著MD5密碼產生器以及可用來破解的反向查詢工具。

Mozilla說明，不小心外洩的資料包含有 4.4萬筆未啟用的帳號，現已移除了相關密碼及帳號，同時強調Mozilla自去年4月以來就採用更安全的SHA-512密碼散列表。

Mozilla並未說明這些資料怎麼會被公開，但強調並未波及現在的使用者與帳號，同時也未影響Mozilla架構。而Wisniewski則提醒使用者注意是否有在其他網站採用與Mozilla上相同的密碼。（編譯/陳曉莉）