C'est un chercheur en sécurité qui a prévenu la fondation après avoir découvert le fichier sur un serveur FTP public de Mozilla Add-ons (addons.mozilla.org). « Nous sommes en mesure de savoir combien de fois cette base a été téléchargée », rapporte Chris Lyon, chargé de sécuriser l'infrastructure, sans toutefois donner plus de précisions. Il ajoute : « ce problème reste minime pour les utilisateurs ».
La base en question contenait tout de même « 44 000 comptes inactifs » avec les prénoms, noms, adresses email et mots de passe chiffrés en MD5 des internautes ayant créé un compte sur le répertoire des extensions des logiciels de Mozilla. La fondation a effacé tous ces mots de passe et, de ce fait, désactivé tous les comptes incriminés. M. Lyon précise que depuis le 9 avril 2009, les données sont chiffrées en SHA-512, un ensemble de fonctions de hachage cryptographiques conçues par la NSA, l'agence de sécurité nationale des Etats-Unis.
Les personnes concernées ont été prévenues par email hier lundi 27 décembre.
