Sur son blog dédié à la sécurité, la fondation Mozilla explique avoir publié par erreur une base de données contenant les informations personnelles de plusieurs utilisateurs.

C'est un chercheur en sécurité qui a prévenu la fondation après avoir découvert le fichier sur un serveur FTP public de Mozilla Add-ons (addons.mozilla.org). "Nous sommes en mesure de savoir combien de fois cette base a été téléchargée », rapporte Chris Lyon, chargé de sécuriser l'infrastructure, sans toutefois donner plus de précisions. Il ajoute : "ce problème reste minime pour les utilisateurs ».

La base en question contenait tout de même « 44 000 comptes inactifs » avec les prénoms, noms, adresses email et mots de passe chiffrés en MD5 des internautes ayant créé un compte sur le répertoire des extensions des logiciels de Mozilla. La fondation a effacé tous ces mots de passe et, de ce fait, désactivé tous les comptes incriminés. M. Lyon précise que depuis le 9 avril 2009, les données sont chiffrées en SHA-512, un ensemble de fonctions de hachage cryptographiques conçues par la NSA, l'agence de sécurité nationale des Etats-Unis.

Les personnes concernées ont été prévenues par email hier lundi 27 décembre.