Miles de direcciones de correo y 4.000 contraseñas cifradas estuvieron expuestas durante casi un mes, convirtiendo a 76.000 desarrolladores de Mozilla en potenciales víctimas de cibercriminales. Los detalles de las cuentas estuvieron, básicamente, al alcance de cualquiera en este período.

Sucede que la base de datos del Mozilla Developer Network (MDN), la red de desarrolladores que sufrió el fallo de seguridad, estaba en un proceso de sanitización que implicaba borrar completamente datos sensibles. Pero debido a una falla en el script, se efectuó un volcado de emergencia del contenido en un servidor donde se almacenan copias de seguridad -el cual no estaba cifrado. Como resultado, las credenciales quedaron expuestas.

"Acabamos de concluir una investigación sobre una brecha que afectó a miembros de Mozilla Developer Network. Empezamos a investigar el invidente tan pronto como supimos de la brecha. El problema salió a la luz hace diez días cuando uno de nuestros desarrolladores web descubrió que, empezando el 23 de junio, por un período de 30 días, un proceso de desinfección de la base de datos del sitio de Mozilla Developer Network (MDN) había estado fallando, lo que resultó en la exposición accidental de las direcciones de correo de MDN de cerca de 76 mil usuarios y contraseñas cifradas de alrededor de 4 mil usuarios en un servidor públicamente accesible", dice el aviso publicado en el blog de seguridad de Mozilla.

La compañía ha avisado que las credenciales de desarrolladores de Mozilla expuestas ya no funcionan y que no hay pruebas de uso fraudulento de la información filtrada. Además, envió avisos a los usuarios que se vieron afectados para que cambien sus contraseñas, en previsión especialmente de que haya usuarios que comparten la contraseña de Mozilla con otros servicios online.