image

Mozilla dicht ernstig lek in inlogdienst Persona

donderdag 3 oktober 2013, 10:39 door Redactie, 1 reacties

Een ernstig beveiligingslek in de Persona inlogdienst van Mozilla zorgde ervoor dat een aanvaller op websites die Persona gebruiken als iemand anders kon inloggen. Mozilla Persona is een dienst waarmee gebruikers zich bij websites en online diensten kunnen authenticeren.

In plaats voor elke website een aparte gebruikersnaam en wachtwoord te kiezen, laat Persona gebruikers met alleen hun e-mailadres en één wachtwoord op elke website inloggen die Persona ondersteunt. Persona laat de website weten dat de gebruiker die zich aanmeldt echt de eigenaar van het gebruikte e-mailadres is, zonder het Persona wachtwoord aan de website door te geven.

Inloggen

Door de kwetsbaarheid in de dienst was het mogelijk voor een aanvaller om met een bestaand Yahoo- of Gmailaccount van iemand anders in te loggen, zonder het bijbehorende wachtwoord te weten. De kwetsbaarheid werd op 24 september door een beveiligingsonderzoeker aan Mozilla gerapporteerd, dat het probleem op 27 september patchte.

Aanvullend zal de opensource-ontwikkelaar de code en libraries die Persona gebruikt nader inspecteren. Volgens Mozilla ging het om een ernstig lek, maar zijn er geen aanwijzingen dat het door kwaadwillenden is misbruikt.

Reacties (1)
03-10-2013, 11:19 door Anoniem
> maar zijn er geen aanwijzingen dat het door kwaadwillenden is misbruikt.

Caveat: Men heeft slechts gekeken naar logdata vanaf 10 september.

Dit laat nog maar weer eens zien dat OpenID implementatie geen sinecure is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.