Je relai un article de macbidouille.fr :
Mozilla a annoncé que son site Bugzilla, dédié à la remontée des problèmes logiciels, a subi une intrusion en septembre 2014 au niveau de sa partie la plus privée dédié seulement à certaines personnes.
On y trouvait une liste de bugs recensés sur les versions déjà déployés dont 53 considérés comme des failles de sécurités graves dans Firefox. Sur ces 53 problèmes, 10 n’avaient pas encore été corrigés et l’un d’entre eux aurait été exploité pour dérober des données aux utilisateurs du logiciel, découverte faite par la société le 5 août dernier.
Des pirates ont donc sciemment ciblé Bugzilla pour y trouver, sans avoir à trop se casser la tête, des failles exploitables sous Firefox. C’est un nouveau mode opératoire dont les éditeurs de logiciels devront se méfier.
L’attaque n’a pas été particulièrement complexe. Il s’avère qu’une des personnes ayant un accès à ce service avait utilisé les mêmes identifiants et mot de passe sur d’autres sites. L’un d’entre eux ayant été compromis, il aura suffi de tester une base d’identifiants / mots de passe pour y accéder.
C’est donc encore une fois l’occasion de rappeler qu’il est capital d’avoir des identifiants spécifiques pour les sites sensibles et surtout uniques pour chaque site.
