
Сервисный веб-ресурс компании Mozilla — багтрекинг Bugzilla — аккумулирует аналитическую информацию по широкому кругу IT-проблем, однако доступ к некоторым сведениям ограничен по соображениям безопасности. И только привилегированный круг пользователей может получать там информацию в полном объеме. Хакерам удалось проникнуть на сервер с такмим закрытими данными и осуществить «слив» в сеть 185 проблем IT-подразделения компании. Видимо, по их замыслу, это должно было нанести бизнесу компании Mozilla серьезный репутационный ущерб. И лишь благодаря верно выбранной PR-стратегии Mozilla смогла достойно держать удар.
Сразу после появления в интернете «сенсации» о многочисленных багах IT-подразделения эксперты Mozilla публично выступили с комментариями по каждому пункту «претензий» к ИБ продукции компании. В частности, сообщалось, что ИБ-специалисты компании Mozilla, расследуя факт взлома, отметили, что на ресурс Bugzilla совершались атаки несколько раз. И самая ранняя из них была 2 года назад. Из 185 «вытащенных из-под замка» проблем — 110, по словам специалистов, никакого отношения к ИБ не имеют вообще, а связаны с проприетарной информацией разработчиков и правовой казуистикой в отношении ПО. Еще 22 уязвимости хотя и были признаны существенными, но вполне разрешимыми в ближней перспективе. А вот действительно критическими было признано 53 бага. Да и то, — к моменту получения злоумышленниками доступа к ним в начале лета — из них оставалось неразрешенных только 10...
Интересно проследить динамику ликвидации тех самых 10 критичных уязвимостей Mozilla. Итак, 2 бага IT-шники компании устранили менее, чем за неделю после августовского «слива». 5 багов исправляли в течение 36 дней. А каждый из оставшихся 3-х багов удалось исправить в течение почти года — через 131 день, 157 дней и 335 дней соответственно. Несмотря на оперативную ликвидацию брешей, хакерам все-таки удалось воспользоваться одной из них — уязвимостью в PDF.js . Именно с помощью этой уязвимости злоумышленники в течение непродолжительного времени распространяли вредоносные рекламные блоки с экспоитами, с помощью которых похищались персональные данные пользователей. Но и эту «лавочку» Mozilla прикрыла еще в начале августа. В блоге эксперт департамента безопасности компании Mozilla Ричарда Барнса сообщается, что используемая хакерами лазейка была ликвидирована 6 августа 2015 года.
Исследуя причину взлома корпоративного сервера и кражу конфиденциальной информации, специалисты компании Mozilla признали, что инцидент произошел из-за пренебрежения правилами ИБ владельцем одного из привилегированных аккаунтов для учетных записей. Он, например, использовал на разных сайтах только один и тот же пароль. И вот — в результате кибератаки — такой пароль и заполучили злоумышленники.
Честно признавая утечку закрытых корпоративных сведений о багах, компания Mozilla заверила, что заново пересмотрена вся корпоративная система ИБ — а все уязвимости сегодня исправлены. И чтобы убедиться в этом, пользователям предлагается обновить свой браузер Firefox до новой пропатченной версии 40. Ричард Барнс, в частности, заявил: «Релиз Firefox от 27 августа исправил все уязвимости, о которых хакер узнал и которые он мог использовать во вред пользователям Firefox».