Bugzilla-Projekt: Mozilla legt Tausende Nutzerdaten frei

Aufgrund einer Sicherheitslücke bei Mozilla sind über mehrere Monate die Daten von rund 97.000 Bugzilla-Nutzern frei einsehbar gewesen. E-Mail-Adressen und Passwörter von Nutzern des Bugtrackers seien nach einem Server-Wechsel drei Monate lang ungeschützt gewesen, teilte Mozilla in einem Blogeintrag mit.

Es ist bereits das zweite Mal in diesem Monat, dass die Mozilla Foundation eine Sicherheitslücke bei einem ihrer Projekte melden muss. Am 1. August war bereits das Mozilla Developer Network von einer Panne betroffen gewesen. Damals waren E-Mail-Adressen von 76.000 Nutzern und Passwörter von 4.000 Nutzern über einen Zeitraum von 30 Tagen ungeschützt geblieben, nachdem ein Auszug der Daten auf einem öffentlich zugänglichen Server geparkt worden war.

Nutzer der offiziellen Seite nicht betroffen

Auch bei der neuen Datenpanne sollen sogenannte Dump Files ab dem 4. Mai im ungeschützten Bereich eines Servers gespeichert worden sein. Die Dateien waren während der Migration eines Testservers in einer frühen Version der Bugtracking-Software angelegt worden, hieß es am Mittwoch von Mozilla. Die Daten seien entfernt worden, als man auf den Fehler aufmerksam geworden sei. Der Ablauf sei inzwischen geändert worden, so dass keine Dump Files mehr erforderlich seien.

Da es sich um einen Server gehandelt habe, der genutzt worden sei, um mögliche Schwachstellen in Bugzilla zu entdecken, hätten die meisten Nutzer vermutlich keine Passwörter verwendet, die sie auch anderswo nutzten. Trotzdem informierte das Team nach eigenen Angaben umgehend alle betroffenen Nutzer. Inzwischen seien alle Passwörter zurückgesetzt worden, so dass Nutzer sich bei der Anmeldung ein neues Passwort erstellen müssten. Nutzer der offiziellen Bugzilla-Seite sind nicht betroffen, sofern sie nicht auch einen Account auf dem Testserver besitzen und für beide dasselbe Passwort verwenden.